F-Secureは、同社の公式ブログでワーム型ウイルス「Sober.Y」についての分析を掲載した。
Sober.Yは、メールの添付ファイルで感染を拡大する。ウイルスメールには英語とドイツ語のものがあり、英語のものでは、例えばFBIやCIAを騙ったメールなどが確認されている。このメールのサブジェクトは「You visit illegal websites」で、本文には「我々は、あなたのIPアドレスのログを30以上の違法サイト上で確認している」などと書かれており、添付ファイルの質問に回答するよう促す。
F-Secureでは、Sober.Yを「今年一番の大きなアウトブレイク」だという。F-SecureのウイルスランキングではSober.Yが41.7%で最多。ついで、Mytob.AZとMytob.Xがそれぞれ17.5%で続いている。
F-Secureの分析では、このSober.Yは2006年1月5日に活動を開始する。特定のURLからファイルをダウンロードして実行するようプログラムされており、このURLが日付と連動してランダムに生成されていることがわかった。
解析されたURLは、ドイツやオーストリアの無料ホスティングサーバー上に設定される。これまでのところ、URLの99%は存在しないものだと確認されているが、F-Secureによればこれらのアドレスはナチス創立記念日でもある1月5日以降、これらのURLが登録されて、攻撃用ファイルが設置されるのではないかと推測している。なお、これらのURLは14日周期で変更されるという。
F-SecureではすでにこれらのURLを分析しており、ドイツの警察当局にも通報済み。F-Secureの公式ブログでは、該当するURLを公開しており、ファイアウォールでこれらのURLを遮断するようシステム管理者に警告している。
関連情報
■URL
F-Secureの公式ブログ(英文)
http://www.f-secure.com/weblog/#00000729
■関連記事
・ F-Secureが下半期のセキュリティ統括、大規模攻撃は「Zotob」「Sober」(2005/12/08)
・ 「Sober!M681」が感染拡大中、FBIやCIAを騙るメールに注意(2005/11/24)
( 鷹木 創 )
2005/12/12 18:14
- ページの先頭へ-
|