「NUWAR」ファミリーにまたまた新しい亜種

現在「NUWAR」ファミリーの新しい亜種、「WORM_NUWAR.AOS」の感染報告が米国、欧州を中心に中規模に確認されています。日本でも小規模ですが報告があります。

一般的なマスメーリングワームの活動を行いますが、添付ファイルをRAR形式のパスワード付き圧縮ファイルにしてウイルス対策製品の検出を免れる手法を使用しています。パスワード付き圧縮ファイルを用いる手法は2004年後半から登場した「BAGLE」ワームファミリーが最初に行ったものです。トレンドマイクロでは「WORM_NUWAR.AOS」が送信するパスワード付き圧縮ファイルを「WORM_NUWAR.RAR」として検出可能です。

パスワード付き圧縮ファイルとして侵入するワームの場合、受信者がパスワードを入力して解凍しない限り危険はありません。必ずメールの内容でユーザを騙してパスワード付き圧縮ファイルを解凍、実行させようとします。今回の「WORM_NUWAR.AOS」ではワーム駆除のためのパッチ導入を促す内容になっています。この様な手法は定番になっていますので騙されないように注意しましょう。

※ワームメール例 注:「宛先」は消してあります

WORM_NUWAR.AOS