トレンドマイクロは同社の公式 Blog で、Skype を利用して自身のコピーを拡散するワームで、「Shylock」以外も確認したことを発表した。

特定の Skype メッセージ内で確認された Shylock に関する報告は、今年1月中旬に話題となった。トレンドラボは関連する検体を解析、「WORM_BUBLIK.GX」として検出されるワームが更なるプラグインをダウンロードし、読み込むことを確認した。

このプラグインは、「WORM_KEPSY.A」として検出される「<コマンド&コントロール(C&C)>/files/010-update-vl0d3/msg.gsm」を含み、実行されると Skype でやりとりされたメッセージ履歴を消去する。

Skype で確認されたもうひとつの脅威は「WORM_PHORPIEX.JZ」として検出され、すべてのリムーバブルドライブ内に自身のコピーを作成する。そして WORM_BUBLIK.GX と同様、「WORM_PHORPIEX.JZ」に誘導するリンクを含む Skype メッセージとなる可能性があるそうだ。

WORM_PHORPIEX.JZ は、特定の「Internet Relay Chat」(IRC)サーバーに接続し、IRC チャンネル「#go」に参加する。また、感染コンピュータに他の不正プログラムをダウンロードして実行をしたり、自身のコピーを添付した電子メールを送信したりする。

また、WORM_PHORPIEX.JZ は、WORM_PESKY.A として検出されるプラグインもダウンロードする。WORM_PESKY.A は、以下の詳細を含む Skype のメッセージを生成する。

Skype を狙うもうひとつのワーム、感染数トップは日本―トレンドマイクロ Blog
「WORM_PESKY.A」が生成するメッセージ

同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックで「WORM_PHORPIEX」の感染数を調査したところ、感染したコンピュータの内83%が日本からだったそうだ。

「WORM_PHORPIEX.JZ」の感染数がもっとも多い国は日本
「WORM_PHORPIEX.JZ」の感染数がもっとも多い国は日本