『MyDoom』ワームの新変種、『MyDoom.C』登場

悪性ワーム『MyDoom』の新たな変種『MyDoom.C』が見つかった。前回の変種『MyDoom.B』と同じく、Microsoft の Web サイトに対して分散型サービス不能化 (DDoS) 攻撃を行なう模様だ。

セキュリティとウイルス対策を専門とする iDefense の悪質コード担当ディレクタ Ken Dunham 氏は9日、MyDoom.C が現在急速に広まっていると述べた。初期解析から、同ワームはこれまでの版と比べて機能を削ぎ落とした版で、Microsoft の Web サイト (だけというわけではないが) への攻撃を主な目的としていることが判明したという。

同氏は最初に発見したのは、アムステルダムからのアクセスだったと指摘し、以前の MyDoom ワームとは異なり、「メール拡散機能がなく、バックドアプログラムも組み込んでいないが、自身を MyDoom 感染マシンにアップロードし、Microsoft に対して集中的な DDoS 攻撃を開始する」と述べた。

Dunham 氏は、9日午前に Microsoft サイトの応答速度が遅くなったのは、MyDoom.C の攻撃によるものだとしている。一方セキュリティ会社の Mi2g は9日、MyDoom.C の感染警告とは別に、同 Web サイトへの負荷は先週末から増加していたとし、原因は MyDoom.B と発表している。Dunham 氏は、この負荷増大こそ MyDoom.C の第一波が原因との見解を示した。

MyDoom.C は感染を拡げるにあたり、すでに MyDoom.A に感染しているコンピュータを利用する。MyDoom.C は TCP ポート3127が待ち受け状態になっているネットワーク上のコンピュータ、つまり MyDoom.A に感染し、バックドアプログラムが機能しているコンピュータを探し出して拡散する。MyDoom.A の感染数は、およそ50万ないし100万台との試算もある。

なお Dunham 氏は、MyDoom.C のコード解析の結果、自動車製造大手 Ford の Web サイト「www.ford.com」の IP アドレスが存在することも明らかになっているが、現在のところ、同サイトへの攻撃は確認していないと述べた。