［英国］
マイクロソフトの不正コピー対策プログラムを装ったマルウェアが登場

（2006年07月03日）

　マイクロソフトがWindowsの不正コピー・バージョンを検出するために使用しているマイクロソフトのプログラム「Windows Genuine Advantage（WGA）Notifications」を装ったマルウェアが発見された。

　セキュリティ対策ベンダー、英国ソフォスのシニア・テクノロジー・コンサルタント、グレアム・クルーリー氏によると、このマルウェアはワームに分類され、アメリカ・オンライン（AOL）のインスタント・メッセージング（IM）プログラム「AOL Instant Messenger（AIM）」を通じて広がっているという。

　同ワームは、コンピュータにインストールされると、「wgavn」という名前の新しいシステム・デバイス・ドライバ・サービスとして登録され、Windowsのレジストリ中では「HKLM\SYSTEM\CurrentControlSet\Services\wgavn\」という項目になる。コンピュータ上で実行中のサービスの一覧では、「Windows Genuine Advantage Validation Notification」と表示され、WGAプログラムが動作しているように見える。

　ソフォスでは、同ワームをCuebotファミリのマルウェアの新たなバリエーションと見なし、「W32.Cuebot-K」と呼んでいる。Cuebot-Kは一連の不正な機能を備えており、インストールされると、即座に2つのWebサイトに接続しようとする。これは、他の不正プログラムのダウンロードを試みる兆候だ。

　ソフォスによると、Cuebot-Kは、「他のソフトウェアを無効にする」「Windowsのファイアウォールをオフにする」「新しい悪意のプログラムをダウンロードする」「DDoS（分散型サービス不能化攻撃）を行う」「ローカル・ファイルをスキャンする」「コマンド・プロンプトを表示する」といった不正な処理を実行する。

　IMプログラムを通じて広がるワームは、多くの場合、一見すると知人から送られてきたメッセージまたはリンクのように見え、ユーザーはついプログラムを実行してしまう。クルーリー氏によると、Cuebot-Kは、感染先ユーザーのバディリストにあるメンバー全員に、自身を「wgavn.exe」というファイルとして本文なしのメッセージとして送りつけることによって増殖するという。

　マイクロソフトのWGAプログラムがスパイウェアのように機能すると批判されている最中に、WGAを装ったCuebot-Kワームの登場はきわめて皮肉な出来事だと言える。WGAはユーザーのコンピュータ上のハードウェアとソフトウェアのデータを収集し、それをライセンスしたOSのデータベースと照合。不正なコピーを検出すると、マイクロソフトはユーザーに警告し、一部の無料ダウンロードを行えないようにする。

(ジェレミー・カーク／IDG News Service ロンドン支局)