ワーム『Sober』の新亜種が感染拡大中

新しいワームがインターネットでうごめいている。今回出回っているのは、オリジナルが2003年10月に登場した『Sober』の新亜種だ。

感染メールの件名は不定で、本文も「Your password was changed successfully! (パスワードの変更に成功しました！)」というものから、エラーメールを装ったものまで多種多様だ。大量メール送付型ワームの例に違わず、最新版の Sober も独自の SMTP エンジンを持ち、送信用メールの作成と送付を行なう。

最新版 Sober は、ユーザーのローカルマシン上にあるさまざまな種類のファイルの中からメールアドレスを取り出し、それらのアドレスを送信メッセージの送信先と送信元の両方で利用する。

最新版 Sober が行動を起こすのは、感染メールの添付ファイルをユーザーがクリックした場合のみだ。添付ファイルをクリックすると、ユーザーが悪質な活動は何も起きていないと思うように、偽の実行エラーを表示する。その後実体ファイルの作成とレジストリの書き換えを行なう。添付ファイルの拡張子は、「.pif」「.scr」「.zip」「.bat」「.com」で、これらの拡張子の前に別の拡張子を組み合わせるなどして、さまざまな種類のファイル名を用いる。

最新版 Sober の識別名は、世代識別がセキュリティ会社によって異なるが、Symantec では『W32.SOBER.I@mm』、Trend Micro では Symantec と同様の『WORM_SOBER.I』、McAfee では『W32/Sober.j@MM』と呼んでいる。