～バックドア機能でリモートから操作される危険も

yahoo.comやhotmail.comアドレスのユーザーを狙って送信するウイルス

■URL
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.cult.c@mm.html

　株式会社シマンテックは、独自SMTPエンジンを利用して「hotmail.com」などのドメインに対して自分自身を送信するウイルス「W32.HLLW.Cult.C@mm（以下、HLLW.Cult）」を危険度2として警告した。現在、被害状況は少ないものの、ダメージは“中”、感染力は“高”と評価されている。

　HLLW.Cultは、バックドア機能を持つワーム型ウイルス。独自のSMTPエンジンを利用し、あらかじめ決められたドメインとランダムに生成される受信者を組み合わせたメールアドレスに対して自分自身を送信する。

　HLLW.Cultに感染すると、HLLW.Cultは自分自身をPCにコピーし、レジストリーを改変することにより、PC起動時に毎回自分が起動されるようにする。その後、IRCチャンネルに参加してクライアント側に通知し、リモートクライアントからのコマンドを待機する。このコマンドにより、攻撃者は感染先のPCに対して「情報の送信」や「ファイルのダウンロードおよび実行」など数々の操作が可能となる。

　メール送信では、HLLW.Cultはまず以下の内容のメールを作成する。

件名: Hi, I sent you an eCard from BlueMountain.com

本文:
Hi , I sent you an eCard from Blue-Mountain.com To view your eCard, open the attachment
If you have any comments or questions, please visit http:/ /www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

添付ファイル名: BlueMountaineCard.pif

　次に、作成したメールの送信先アドレスを以下のルールで決定し、大量送信を開始する。

[ランダムな名前][ランダムな数字]@[あらかじめ決められたドメイン]

　あらかじめ決められたドメインは以下の6種類の中からランダムで選ばれる。

• email.com
• earthlink.net
• roadrunner.com
• yahoo.com
• msn.com
• hotmail.com

　万が一、感染の疑いがある場合は、ウイルス対策ソフトで検出されたファイルを全て削除し、改変されたレジストリーを修正しなければならない。

(2003/4/4)

[Reported by otsu-j@impress.co.jp]