トレンドマイクロの研究機関TrendLabsのブログによると、日本時間の先月22日を中心に大きな感染活動がみられた通称"Storm Worm"(※1)は、メール媒介型ウイルスで大量の亜種が生まれている"Stration"に関連したIPアドレスにDDoSを実施する機能を持っているという。

※1:

WORM_NUWAR.CQ
TROJ_SMALL.EDW
Trojan.Peacomm

Storm Wormを指すウイルスの名称などにばらつきがあるため、明示にしにくい面があるが、ウイルス対策ソフトベンダ各社の情報を総合的に判断すると、Storm Wormは主に以下のような名称の添付ファイルを伴った電子メールによって感染を広げるという。

• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe

これらの添付ファイルをクリックするなどして感染した場合、主に以下の機能を持ったファイルが個別に作成され、実行される。

• バックドア機能
• ダウンロード機能
• SMTP中継機能
• 電子メールアドレス収集・漏出機能
• 電子メールによる感染拡大機能
• DDoS機能
• P2P機能
• rootkit機能
• 自己更新機能

これらの中でP2P機能は注目に値するが、ボットネットのような指揮命令系統に用いられているのではなく、自己更新機能を補助する役割であるという。また、DDoS機能は複数のサイトへの攻撃を実行するものになる。TrendLabsがブログで述べている内容はこれに言及するもので、特定のStration("Warezov"とも呼ばれる)ウイルスの亜種によって使用されたことが確認されているドメインに対して、Storm WormはDDoSを実施するようにコーディングされたプログラムを実行するのだという。

TrendLabsはStorm Wormのこのような動作を、かつての「NetskyとBagleの抗争」のような争いの方向性の一つとして、今後大量の亜種が発生することで、いわば「巻き添え」となるPC利用者が増えないことを望む、としている。事実、Storm WormにはSMTP中継機能が利用されていることから、競合しているスパム送信業者間の嫌がらせ行為ではないかとみる意見(※2)もある。

※2:

SecureWorks - Storm Worm DDoS Attack