トレンドマイクロ、Webを媒体にして感染する新型トロイの木馬群に警報
エンタープライズ
その他
注目記事
-
【デスクツアー】真似したい自宅デスク環境一挙公開!
-
トレンドマイクロ、プラグインによる機能拡張に対応した「ウイルスバスター コーポレートエディション8.0」
-
トレンドマイクロ、Webサイトの安全性を色で表示するIE用プラグイン「Trendプロテクト」
拡大写真
トレンドマイクロは18日、互いに連携しWebを悪用して次々に感染していく、トロイの木馬型の複数の新種ウイルスが確認されたと発表した。なお、同社のウイルス検出パターンファイルでは「4.539.00」以降でこれらのウィルスを検出できるとしている。
今回発表された新種ウィルスは、互いに連携し、Webを悪用して次々に感染していくもので、これにより感染コンピュータが踏み台にされたり、パスワード情報などが漏洩したりする可能性があるとしている。また、この連鎖攻撃のきっかけとして、イタリアの旅行者向けのサービスを紹介する複数の正規Webサイトから感染が始まる事例が報告されているという。
今回発表されたウィルスの侵入方法および活動は以下のとおり。
1) 不正コード「HTML_IFRAME.CU」が埋め込まれたWebサイトを閲覧することにより、ユーザの了承無しに他の不正サイトへのアクセスが発生
2) Internet Explorerのセキュリティホールにより、アクセスした不正サイト内の「JS_DLOADER.NTJ」を実行
3) 「JS_DLOADER.NTJ」がWindows Explorerのセキュリティホールを攻撃し、「TROJ_SMALL.HCK」を別の不正サイトよりダウンロード・実行
4) 「TROJ_SMALL.HCK」が不正なWebサイトへ接続し、「TROJ_PAKES.NC」や「TROJ_AGENT.UHL」をダウンロード
5-1) 「TROJ_PAKES.NC」が「TSPY_SINOWAL.BJ」をダウンロード。「TSPY_SINOWAL.BJ」は入力したキー情報をもとに各種アカウント情報やパスワードを収集し、不正リモートユーザに送信
5-2) 「TROJ_AGENT.UHL」がランダムなポートを開き、プロキシサーバとして活動。これにより、不正リモートユーザは感染したPCを介して、匿名のインターネット接続を行うことが可能になる
今回発表された新種ウィルスは、互いに連携し、Webを悪用して次々に感染していくもので、これにより感染コンピュータが踏み台にされたり、パスワード情報などが漏洩したりする可能性があるとしている。また、この連鎖攻撃のきっかけとして、イタリアの旅行者向けのサービスを紹介する複数の正規Webサイトから感染が始まる事例が報告されているという。
今回発表されたウィルスの侵入方法および活動は以下のとおり。
1) 不正コード「HTML_IFRAME.CU」が埋め込まれたWebサイトを閲覧することにより、ユーザの了承無しに他の不正サイトへのアクセスが発生
2) Internet Explorerのセキュリティホールにより、アクセスした不正サイト内の「JS_DLOADER.NTJ」を実行
3) 「JS_DLOADER.NTJ」がWindows Explorerのセキュリティホールを攻撃し、「TROJ_SMALL.HCK」を別の不正サイトよりダウンロード・実行
4) 「TROJ_SMALL.HCK」が不正なWebサイトへ接続し、「TROJ_PAKES.NC」や「TROJ_AGENT.UHL」をダウンロード
5-1) 「TROJ_PAKES.NC」が「TSPY_SINOWAL.BJ」をダウンロード。「TSPY_SINOWAL.BJ」は入力したキー情報をもとに各種アカウント情報やパスワードを収集し、不正リモートユーザに送信
5-2) 「TROJ_AGENT.UHL」がランダムなポートを開き、プロキシサーバとして活動。これにより、不正リモートユーザは感染したPCを介して、匿名のインターネット接続を行うことが可能になる
《村上幸治》
