段階を踏みながらPCを攻撃する、「Bagle」ワームの最新亜種に対して、ウイルス対策企業が警戒を強めている。
Computer Associates Internationalが「Glieder」と命名したこの亜種は、さまざまな要素をこれまでにない方法で組み合わせて攻撃に利用する。これは、従来のBagleワームとは大きく異なるものだという。同ウイルスは、感染PCを増やし、その防御手段を解除させ、そのうえで彼らを利用するという段階的なアプローチをとっている。
Computer Associates AustraliaのセキュリティアーキテクトChris Thomasは、「複数の方法を利用して拡散をもくろむ複合的なウイルスは以前にも存在していたが、こんなものは初めてだ」と話す。
このWin32.Gliederワームは典型的なマスメール方式を用いて拡散を試み、ユーザーがメールの添付書類を開いた場合に、アドレス帳に掲載されている宛先に自身のコピーを送信する。Thomasは、「これが拡散の足がかりになる。目的は、軽いマルウェアを出来るだけ多くのユーザーに、なるべく素早く送りつけることだ」と分析している。なお米国時間31日には、CAが同様の亜種を8種類も発見している。
Gliederワームは、みずからを電子メールで送信するだけでなく、ウイルス対策ソフトウェアのアップデート機能を阻害する「Win32.Fantibag」というトロイの木馬を、感染マシンにダウンロードする。また同ワームは、Microsoftのアップデート用サイト「windowsupdate.microsoft.com」へのアクセスをも遮断すると、Thomasは説明している。「これでマシンは、自分自身を守ることができなくなる。ソフトウェアのアップデートが不可能になり、被害ユーザーは助けを求めることもできず、感染マシンは見事に孤立する」(Thomas)
最後の段階で、第二のトロイの木馬が登場する。こちらは「Win32.Mitglieder」と呼ばれており、ファイアウォールやウイルス対策ソフトウェアを無効化してマシンの防御力をさらに下げ、ついにはマシンを乗っ取って、ボットネットの一部として悪用するという。ボットネットとはネットワークに接続されたマシンの集合体で、何千台にも及ぶPCが含まれることもしばしばだ。スパムの踏み台として悪用されることもあるし、ユーザーの行動を探ったり、ユーザーの個人情報を盗もうとしたりするのに用いられる場合もある。
「被害を受けているPCに対するマーケットまで出現している。つい先日には、詐欺に関与している犯罪者やスパム業者が、乗っ取られたPC1台につき約5セントを支払っていたことが判明している」(Thomas)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ