オーストラリアで首相の死を題材にしたスパムが流行していました。件名としては、以下のようなものが確認されています:
- “Current Australia’s Prime Minister survived a hear attack”
- “The life of the Prime Minister is in grave danger”
- “Prime Minister survived a heard attack”
このスパムメール内に記載されているURLは不正サイトにリダイレクトされ、トロイの木馬「TROJ_SMALL.GHI(スモール)」(パターン4.280.02で対応)をダウンロードしてきます。さらに、この不正プログラムを実行すると、別の不正サイトへ接続し、「TROJ_VB.BLV(ブイビー)」(パターン4.278.09で対応)や「TROJ_SMALL.DYQ(スモール)」(パターン4.278.09で対応)などの不正プログラムをダウンロードしてきます(これらの不正サイトは、2007年2月20日現在、アクセス不能のようです)。
「TROJ_VB.BLV」や「TROJ_SMALL.DYQ」がインストールされると同時に、外部へのバックドアとしてWebサーバ機能もインストールされます。悪意のあるハッカーはWebサーバにアクセスすることにより、感染したコンピュータのIPアドレスや利用可能ポートの情報を得られます。それらの情報の中にその感染したコンピュータのIPアドレスから推測される地域を、グーグルマップ上で表示するためのリンクも提供されます。IPアドレスだけで正確な住所を割り出せるものではありませんが、それでもグーグルマップで視覚的に表示されるとショッキングかもしれません。活動内容的に日本のWINNY(ウィニー)系暴露ウイルスにもつながるものを感じますね。
「ストームワーム」という別称が付いたトロイの木馬「TROJ_SMALL.EDW(スモール)」(パターン4.194.01で対応)とワーム「WORM_NUWAR.CQ(ヌーウォー)」(パターン 4.199.00で対応)のケースを持ち出すまでもなく、緊急ニュースを装ったスパムメールは非常に遭遇の可能性が高い手法になっています。詳細な内容についてURLへのアクセスや添付ドキュメントファイルを読むことを促す情報メールは必ず正当性をチェックしましょう。