ITmedia NEWS > 速報 >

Download.jectに酷似の新ワーム、IMで拡散

» 2004年08月21日 07時02分 公開
[IDG Japan]
IDG

 MicrosoftのInternet Information Services (IIS) Webサーバに感染して拡散するワームが6月に発見されたが、今度はインスタントメッセージング(IM)を利用する同ワームの亜種が出現、ロシアとウルグアイ、米国のWebサイトに感染して繁殖しようとしていると、あるセキュリティ企業が報告した。

 米PivX Solutionsの研究者が発見した新たな不正コードは、大規模な攻撃を引き起こした「Scob」あるいは「Download.ject」と呼ばれる不正コンピュータコードに酷似している。今回の攻撃では広く普及しているIMを利用、Download.jectに似た不正コードを撒き散らすWebサイトにインターネットユーザーを呼び寄せていると、PivXの上級セキュリティ研究者、ソア・ラーホルム氏は説明する。

 この攻撃は、America Online(AOL)のAOL Instant Messenger (AIM)またはICQのユーザーに送られたメッセージで始まる。このメッセージは「私の新しいホームページをチェックして!」といった言葉で、特定のWebページへのリンクをクリックするよう促す。メッセージの送り主は知らない相手のこともあれば、いつもIMでやり取りしている「友達」の場合もあるという。

 このリンクをクリックすると、ウルグアイ、ロシア、米国のサーバでホスティングされている複数の攻撃用Webページの一つに誘導され、ここからトロイの木馬プログラムがダウンロードされる。

 被害者のコンピュータには「裏口」が開かれて不正プログラムがさらにダウンロードできる状態になるほか、ブラウザのホームページやOutlookの電子メール検索ページも変えられて、アダルトコンテンツが表示されるとラーホルム氏。

 被害者のマシンに不正コードが置かれているかどうかはPivXでまだ分析中だが、この新ワームが使っているファイルの多数、および攻撃方法から判断すると、6月にScob攻撃を仕掛けたのと同じグループに結びつくとラーホルム氏は言う。

 攻撃用のWebサイトは、Internet Explorer(IE)とOutlookの脆弱性を利用している。Microsoftからはパッチがリリース済みだが、パッチを適用していないシステムに不正コードを置いて実行されている。この脆弱性はMicrosoftの「MS03-025」「MS03-040」で対応している。

 ラーホルム氏によれば、ウイルス対策各社にも今回の不正コードについて情報を提供したが、8月19日現在、まだウイルス定義ファイルはリリースされていないという。

Copyright(C) IDG Japan, Inc. All Rights Reserved.