クリスマス気分に冷水を浴びせる『IM.GifCom.All』ワーム

3大インスタントメッセージ (IM) ネットワークを狙ったワームが、知人リストを通じて感染を拡げている。

IM セキュリティ対策会社の IMlogic は19日、『IM.GifCom.All』ワームを発見し情報を公開した。同社によると、このワームは、チャットメッセージ画面に、無害を装いサンタクロースサイトへのリンクに見える URL を表示するという。

実際にリンクをクリックすると、使用中のパソコンに実行ファイルをダウンロードしてしまう。この実行ファイルは、多くの場合「gift.com」というファイル名を持ち、起動すると直ちにレジストリ、ファイルシステム、インターネットキャッシュのスキャン活動を開始する。同プログラムはルートキットとしての働きを持ち、セキュリティ製品を含め、あらゆるツールから見えないように自らのプロセスを隠す。

この実行ファイルは、キーボード入力を記録するキーロガー機能も備える。一般に同種の機能は、悪質プログラムの作成者が、クレジットカード番号やログイン情報、パスワードなどの個人情報を集めるために利用することが多い。

さらに問題の実行ファイルは、ウイルス対策ソフトウェアの停止と、複数のネットワーク接続を試みる。おそらく接続先は、今回の悪質プログラムの作者が、キーボード入力情報を集めるために用意したリポジトリだ。

さらにこのプログラムは、IM クライアントが保持する知人リストを通じて、自己増殖を図る可能性がある。

IMlogic は、IM.GifCom.All ワームの危険性を中程度と格付けしたが、同ワームは3大公衆 IM ネットワーク、すなわちAmerica Online の『AIM』および『ICQ』、『Yahoo! Messenger』、『MSN (Microsoft) Messenger』を狙う点で一般的な IM ワームと異なる。IM ワームの多くは、一度に1つか2つの IM プラットフォームしか狙わない。