さっそくやってきました、噂のMyDoom/Novarg。ローカルファイルからメールアドレスを収集しまくるからだいぶ拡散力が強いようです。加えてエラーメールに見せかけるソーシャルエンジニアリング。日本人にとっては訳(わけ,やく)のわからない英文メールだから、英語圏の国よりはまだマシなようですが。
で、さっそくアタッチされていたzipを解凍してみました。中身は.pifファイル。.txtにして開いてみるとMZヘッダが見えたので思いっきり実行ファイルのようです。pifでも動くんだーとちょっと感心。
中身をチラッと見た感じ、軽い自己暗号化がかけてあるようで。どんな暗号化かなーと思ったら、HTTPヘッダの部分はなんとROT13っぽいです。13へぇでした。
UPXがかけてあるようですが、それにしてもたったの20KBでメールアドレス収集、メール送信、zip偽装(無圧縮でした)、バックドアをこなすとは。ぼくが作ってる大富豪ゲームよりずっと軽いです。むー。