メールをプレビューしただけで感染するウイルスの新種「WORM_ZOHER.A」が発見された。トレンドマイクロによれば、日本国内での最初の感染報告は12月26日で、すでに報告件数は13件にのぼっているという。

　WORM_ZOHER.Aは、NIMDAやWORM_BADTRANS.Bと同様にInternet Explorer（IE）のセキュリティホール「MS01-020」を悪用して感染を試みる。感染する可能性があるのはIE 5.01、5.01 SP1、5.5、5.5 SP1を利用しているユーザーで、IE 6.0やIE 5.xにService Pack 2を適用している場合は回避できる。

　このウイルスが添付されたメールのサブジェクトは「Fw: Scherzo!」、本文は「Con questa mail ti e stata spedita la FortUna」ではじまり、添付ファイルの名称は「JAVASCRIPT.EXE」。添付ファイルのコンテンツタイプはaudio/x-wavとなっており、メールをプレビューするとWindows Media Playerといったオーディオ関連のアプリけーションが起動する。

　ウイルスに感染した場合、メールサーバーに対し60秒間隔で接続を試みる。アクセスに成功すると、Windowsのアドレス帳（拡張子が「.WAB」のファイル）に登録されている宛先に対し、ウイルスを添付したメールを送信する。

□「WORM_ZOHER.A」の情報（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ZOHER.A
□関連記事「トレンドマイクロ、WORM_BADTRANS.Bの被害急増を受け専用対策Webを設置」
http://bb.watch.impress.co.jp/news/2001/12/05/badtrans.htm
□関連記事「猛威をふるうコンピュータウイルス、過去最悪の状況へ」
http://bb.watch.impress.co.jp/news/2001/11/30/virus.htm
□関連記事「ウイルス「Badtrans.B」が大量発生、シマンテックは危険レベルを引き上げ」
http://bb.watch.impress.co.jp/news/2001/11/27/badtrans.htm
□関連記事「またもや危険度の高い新種ウイルス「WORM_GONE.A」が発生」
http://bb.watch.impress.co.jp/news/2001/12/05/virus.htm
□不適切なMIMEヘッダーが原因でIEが添付ファイルを実行してしまう（MS01-020）
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS01-020

（笠井 康伸）
2001/12/27 11:56