本日はインスタントメッセンジャーワームのよい例として「WORM_SOHANAD」のケースを紹介します。 インスタントメッセンジャーワームはメッセージ内に自身をダウンロードさせるURLを書き、ユーザにアクセスさせようとする手口がもっとも一般的です。
今回の「WORM_SOHANAD」は Yahoo!メッセンジャー(以下YM)を利用し以下のメッセージを送信します。内容はイラク戦争関連の写真へのリンクを思わせるURLです:
ユーザが興味を持ってメッセージ内のURLにアクセスするとリダイレクトされ、以下のページが表示されます:
この表示の裏でワームがダウンロードされインストールされてしまいます。ワームはYMの設定を変更し、コンタクトリストの全員に対して不正URLを含んだ以下のようなメッセージを送信します:
ワームは外部サーバにアクセスし、なんらかのプログラムのダウンロードを試みます。以下はネットワーク通信のキャプチャですが YMworm.exe をダウンロードしようとしているのがわかります:
このようなインスタントメッセンジャーワームが送信するメッセージは英語が多いため、まだまだ日本での被害報告は多くありません。しかし、悪意のユーザによるターゲット的な攻撃で日本語のメッセージが送られてくることも考えられます。YMではメッセンジャーでも電子メールでも不明なURLが含まれているものには注意してください。
今回の例に取り上げた不正プログラムをトレンドマイクロでは「WORM_SOHANAD.DC」および「WORM_SOHANAD.DJ」として検出対応しています。