Internet Watch logo
記事検索
最新ニュース

Sober.Yの通信先サイトも1月5日に活動開始か~F-Secureが分析


 F-Secureは、同社の公式ブログでワーム型ウイルス「Sober.Y」についての分析を掲載した。

 Sober.Yは、メールの添付ファイルで感染を拡大する。ウイルスメールには英語とドイツ語のものがあり、英語のものでは、例えばFBIやCIAを騙ったメールなどが確認されている。このメールのサブジェクトは「You visit illegal websites」で、本文には「我々は、あなたのIPアドレスのログを30以上の違法サイト上で確認している」などと書かれており、添付ファイルの質問に回答するよう促す。

 F-Secureでは、Sober.Yを「今年一番の大きなアウトブレイク」だという。F-SecureのウイルスランキングではSober.Yが41.7%で最多。ついで、Mytob.AZとMytob.Xがそれぞれ17.5%で続いている。

 F-Secureの分析では、このSober.Yは2006年1月5日に活動を開始する。特定のURLからファイルをダウンロードして実行するようプログラムされており、このURLが日付と連動してランダムに生成されていることがわかった。

 解析されたURLは、ドイツやオーストリアの無料ホスティングサーバー上に設定される。これまでのところ、URLの99%は存在しないものだと確認されているが、F-Secureによればこれらのアドレスはナチス創立記念日でもある1月5日以降、これらのURLが登録されて、攻撃用ファイルが設置されるのではないかと推測している。なお、これらのURLは14日周期で変更されるという。

 F-SecureではすでにこれらのURLを分析しており、ドイツの警察当局にも通報済み。F-Secureの公式ブログでは、該当するURLを公開しており、ファイアウォールでこれらのURLを遮断するようシステム管理者に警告している。


関連情報

URL
  F-Secureの公式ブログ(英文)
  http://www.f-secure.com/weblog/#00000729

関連記事
F-Secureが下半期のセキュリティ統括、大規模攻撃は「Zotob」「Sober」(2005/12/08)
「Sober!M681」が感染拡大中、FBIやCIAを騙るメールに注意(2005/11/24)


( 鷹木 創 )
2005/12/12 18:14

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.