アトランタにあるExploit Prevention Labsのロジャー・トンプソンCTO(最高技術責任者)によると、仕掛けられるバックドアは中国にあるサーバを呼び出し、感染したシステムに関する情報を報告するようプログラムされているという。このバックドアは、特定のアドレスに接続して、悪意のある攻撃者からの指令を受け取る機能も備えている。
ウイルス対策ベンダーのF-Secureによると、マルウェアの侵入が成功すれば、攻撃者はファイルとディレクトリの作成/読み込み/書き込み/削除、検索、レジストリのアクセス/変更、サービスの操作、プロセスの起動/停止、スクリーンショットの取得、開いているウィンドウ数のカウント、独自のアプリケーションウィンドウの作成、Windowsのロック/再起動/シャットダウンといった操作を行えるようになる。
ISCによると、攻撃者たちは問題が発覚したことに気付いているもようで、攻撃に関連したIPアドレスを頻繁に変更しているという。
Wordは極めて広範に普及しているソフトウェアであるため、大規模な攻撃へと発展する可能性は依然として大きい。しかしセキュリティ専門家たちによると、実際の侵入件数はまだ非常に少ないという。これは、最初の攻撃が特定のターゲットを狙ったものであるからだ。
Microsoftのプログラムマネジャー、スティーブン・トゥールーズ氏は、Microsoft Security Response Centerのブログの中で、6月13日に予定されているソフトウェアアップデートで総合的なフィックスを提供すると述べている。
「今回、攻撃の媒介となっているのは、電子メールの添付ファイルなどの手段を通じてユーザーのコンピュータに持ち込まれるWord文書である。ユーザーがそれを開けない限り、何も起こらない」とトゥールーズ氏は記している。さらに同氏は、この攻撃は管理者権限を必要とするため、ユーザーアカウントに制限を設定することによってリスクを軽減するようユーザーに求めている。
Microsoftは、Windows Live Safety Centerにシグネチャのアップデートを追加した。
トゥールーズ氏は、第1陣の攻撃には共通性が見られたと指摘する。「この攻撃は電子メールをベースとしたものだ。電子メールはまとめて送られてくる傾向にある。その多くは、本当のドメインに見せかけた偽のドメインを備えているが、送信先は有効な電子メールアドレスとなっている」と同氏は話す。
これまでのところ、使用されたメールタイトルは2つだけである。1つは「Notice」(通知)というタイトルで、もう1つは「RE: Plan for final agreement」(最終合意に向けた計画)となっている。
防衛策
この新種の攻撃および関連するマルウェアによる被害の可能性を減少させるために、Symantec Security Responseでは以下の対策を講じるようユーザーにアドバイスしている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.