にせものセキュリティ更新メールにご用心

セキュリティ企業各社は6日、Microsoft のセキュリティ更新に見せかけたワームが、今週インターネットに出回りだしたと警告を発した。似たような手口を取っている感染メールの例は、先日お伝えした『Sharpei』が記憶に新しい。

今回のワームも大量メール送信型で、『Gibe』という名がついた。Gibe 自体が破壊行動を起こすことは無いが、トロイの木馬型バックドアをインストールするため、感染したシステムはリモートからのアクセスを許してしまう。

Gibe の感染メールは、送信者が「Microsoft Corporation Security Center (Microsoft セキュリティセンター)」で、件名は「Internet Security Update (インターネットセキュリティの更新)」となっており、添付ファイルに Microsoft の修正プログラム名を模した「Q216309.exe」が付いている。メール本文の内容は概ね Microsoft のセキュリティ情報 MS02-005 の内容と一致し、直ちに添付した対策プログラムを実行するよう呼びかけるものとなっている。

Gibe は Visual Basic で記述したワームで、起動すると自分自身のコピーを2つと、Outlook および独自の SMTP エンジンを用いるメール送信プログラムファイル、そしてポート12378を開いてしまうバックドアプログラムファイルを作成する。感染メールを配布するメールアドレスは、Outlook のアドレス帳をはじめ、拡張子「.htm」「.html」「.asp」「.php」を持つ各ファイルの中からも収集する。

同ワームが作成するファイルをまとめると次の通り。全てのファイルは Windows ディレクトリ (一般にc:Windows) 内にある。

• Q216309.exe および Vtnmsccd.dll、ワーム本体のコピー。
• BcTool.exe、メール送信プログラム。
• GfxAcc.exe、バックドアプログラム。
• 02_N803.dat、収集したメールアドレスを格納するデータファイル。
• WinNetw.exe、メールアドレスの収集プログラム。

フィンランドのセキュリティ企業、F-Secure Corp. は6日、ワームが作成したファイルをすべて感染したシステムから削除すれば、同ワームが活動することは無いと述べた。ファイルが使用中で削除できない場合は、DOS で再起動してから削除するか、各ファイルの拡張子を変更して直ちに Windows を再起動する必要があるとしている。

多くのウイルス対策企業は、すでに同ワームへの対応を済ませている。