出来心で見たアダルトサイトに新種の「PDF」ウイルスが！〜 G Data調べ

エンタープライズその他

2009.6.16（火） 14:21

　G Data Softwareは15日、6月に入ってから、アダルトサイトに蔓延している新手の「PDF」ウイルスについての報告を発表した。これは先月より蔓延している「GENOウイルス」とは別種のものだ。

　それによるとAdobe Reader（Acrobat Reader）のセキュリティホールを悪用してマルウェアを感染させるようなアダルトサイトが、2009年6月に入って以来、急激に増えているという。G Dataの調べでは、すでに100以上が発見されおり、おそらく数百もの危険サイトがあると推測された。一方でこれらのサイトはSEO（検索エンジン最適化）に注力しているため、検索すると上位に登場することが多く、接触する可能性が高いと見られている（ドメイン名やサイト名に関する詳細は非公開）。これらのサイトは、インラインフレームを含んでおり、PDFファイルを埋め込むことが可能となっている。そして、実際にPDFが表示されなくても、PDFの脆弱性を利用してユーザーにマルウェアを送り込む「PDFウイルス」が埋め込まれているケースが確認されている。

　アダルトサイトの場合、Flashの脆弱性を悪用するものを想像するのが一般的だったが、今回発見されているケースでは、Acrobatの脆弱性が悪用されているところに特徴があるという。PDFはバックグラウンドに潜み、中国にあるサーバにリンクされているPDF文書が置かれている。ユーザーがアダルトサイトのページを開いた瞬間に、AcrobatのプラグインがそのサーバからPDFを読み込もうとして、実際はウイルスをロードしてしまう。このウイルスは「Packer.Malware.NSAnti.h」もしくは「Win32:-ACFU Trj」、あるいは「JS:Pdfka-FS」などの名称で分類されており、感染してしまったPCは、いつの間にかボットネットに組み込まれるなどの被害をもたらしていると見られている。

　GENOウイルスをはじめ、Acrobatの脆弱性を攻撃するものは、基本的に圧縮されていることによってその有害な機能を隠している。JavaScriptを含んでいるオブジェクトが解凍されると、シェルコードのエントリがばらまかれ、いわゆるヒープスプレーが行われる。そして、バッファオーバーフローの脆弱性のあるCollab.getIcon（）によって（CVE-2009-0927）、有害なコードを実行するという。

《冨岡晶》