Skypeは10日、「Skype for Windows」で新種のワームが感染を広げているとしてユーザーの注意を喚起した。このワームの名称は、F-Secureでは「W32/Skipi.A」、Symantecでは「W32.Pykspa.D」と呼んでいる。
このワームに感染すると、コンタクトリストのメンバーにチャットメッセージを送信し、そのメッセージ内のリンクをクリックした人にさらに感染を広げていくという。ただし、チャットメッセージを受信した段階で自動的に感染してしまうといった種類のものではなく、必ず感染者の操作を必要とすることに注意が必要だ。
感染する手順は次の通りだ。まず、自分のSkypeコンタクトリストに掲載されている人、あるいは掲載されていない人からのチャットメッセージを受信する。そのメッセージとしては「how are u ? :)」などの英語、あるいはラトビア語やロシア語のメッセージが確認されており、利用しているSkypeの言語設定に依存すると考えられている。
このチャットメッセージには、.jpg画像へのリンクに見えるものが含まれている。実際には、このリンクをクリックするとワームファイルをダウンロードするようダイアログボックスが表示され、ワームファイル本体である.scrファイルを実行あるいは保存するかを尋ねてくる。このファイルの実行を許可した段階で初めて感染することになる。
感染した後、このワームはまずWindows標準壁紙の1つである「シャボン」を表示するようカモフラージュしてから、Skype APIを使い、感染者のSkypeを介して他のPCへと感染を広げていく。
このようにユーザーの操作なくしては、このワームはPCに感染することはできない。見慣れないユーザーからのチャットのほか、知り合いからのチャットメッセージであっても、怪しげなリンクが含まれている場合、決してクリックしたり、ましてや怪しげなファイルを保存あるいは実行しないよう注意する必要がある。
Skypeではこのワームに感染した場合、ワームを除去する方法としてウイルス対策ソフトのアップデートを行ない、ワームを探知・除去する方法を最優先に勧めている。Skypeではレジストリを編集して手動でこのワームを除去する方法を公開しているが、レジストリを編集することはシステムに影響を与える危険もあるため、ほとんどのユーザーにはこの方法を勧めていない。
一方、F-SecureとSymantecでは、このワームに関する詳細な情報を公開し始めた。感染するとホストファイルを編集し、セキュリティ関係企業のIPアドレスを書き換え、さらにはセキュリティソフトのプロセスを停止させるといった現象を確認しているという。そのため、最悪の場合にはSkypeのページに書かれている手法でワームを除去する必要があるかもしれない。
関連情報
■URL
Skype Heartbeat公式ブログの該当記事(英文)
http://heartbeat.skype.com/2007/09/the_worm_that_affects_skype_fo.html
F-Secureによる「W32/Skipi.A」説明(英文)
http://www.f-secure.com/v-descs/im-worm_w32_skipi_a.shtml
Symantecによる「W32.Pykspa.D」説明(英文)
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-091011-2911-99&tabid=2
■関連記事
・ Skypeのメッセージで拡散する「Warezov」に新亜種、ウェブセンスが警告(2007/03/23)
( 青木大我 taiga@scientist.com )
2007/09/11 12:26
- ページの先頭へ-
|