Internet Watch logo
記事検索
最新ニュース

Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種


 28日、Mydoomの亜種「Mydoom.B」が発見された。すでに世界中で感染している「Mydoom.A」に寄生して感染を広げ、米SCOと米MicrosoftのWebサイトに対してDoS攻撃を仕掛ける。

 ロシアのセキュリティ企業Kasperskyによると、Mydoom.Bは、Mydoom.Aに感染したPCが発生源である可能性が高く、これらのPCがMydoom.Bのコピーを送信するよう仕組まれている可能性があるとしている。仮にそうだとすれば、Mydoom.Aに感染したと推定される約60万台のPCからMydoom.Bが感染を広げ始めたことになり、最終的にMydoom.Aよりも大きな被害につながりかねない。

 Mydoom.Bに感染したPCは、すでにMydoom.Aに感染している他のPCを探す。この作業はネットワークスキャンによって行なわれ、感染しているPCを発見すると、それをMydoom.Bに“アップデート”する。しかしながらMydoom.Bにはこれ以外に技術的に新しい点は特に見当たらず、現在のところ複数のセキュリティ企業はさほど大きな警告を発していない。

 F-SecureとSymantecによると、Mydoom.BはSCOとMicrosoftのWebサイトに対してDoS攻撃を仕掛ける一方、感染したPCがセキュリティ企業のWebサイトやサービスにアクセスできないよう細工を施すという。

 DoS攻撃の時刻は、「www.sco.com」に対して2004年2月1日16時9分18秒(協定世界時)、「www.microsoft.com」に対して2004年2月3日13時9分18秒となっている。その後は2004年3月1日3時18分42秒に感染拡大を停止するが、TCPポートで外部からの命令を受け取れるように待機する。

 また、セキュリティ関連のWebサイトにアクセスできないようドメイン名をIPアドレス「0.0.0.0」に置き換えてしまう。対象となるサイトには、McAfee、F-Secure、Sophos、Symantec、Network Associates、MicrosoftのWindowsUpdateなどが含まれている。

 Mydoom.Bは現在のところMydoom.Aのような感染拡大をしていないが、頻繁にウイルス対策ソフトの定義ファイルをアップデートし、感染拡大阻止に努める必要がある。


関連情報

URL
  Kasperskyのニュースリリース(英文)
  http://www.kaspersky.com/news.html?id=3657414
  F-Secureのウイルス情報(英文)
  http://www.f-secure.com/v-descs/mydoom_b.shtml
  Symantecのウイルス情報(英文)
  http://www.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html

件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
Mydoomの感染速度は過去最大級、標的となったSCOは犯人逮捕に懸賞金(2004/01/28)


( 青木大我 taiga@scientist.com )
2004/01/29 12:06

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.