ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

IMワームが偽のGoogleページ利用、アドオンが実はマルウェア

» 2007年08月30日 09時31分 公開
[ITmedia]

 偽のGoogleページを表示してマルウェアをダウンロードさせようとするワームが見つかったと、セキュリティ企業のTrend Microが報告した。

 問題のワームはインスタントメッセージング(IM)経由で感染する「SOHANAD」の一種で、Microsoft Data Access Components(MDAC)の脆弱性(2006年4月に修正済み)を突いて、ユーザーのマシンに実行可能ファイルをダウンロードさせようとする。

画像 マルウェアを仕込もうとする偽のGoogleサイト(Trend Microのブログより)

 このワームは、新たな手口として偽のGoogleページを利用。英語版Googleとそっくりに見せかけたこの偽ページでは、リンク先がすべて、マルウェアを仕掛けたページにつながっている。

 さらに「適切に動作させるためにはアドオンをダウンロードする必要があります」とする説明で、マルウェアをダウンロードするよう仕向けている。

 Trend Microでこのページのソースコードを分析したところ、難読化され見えにくくしたスクリプトが3件見つかった。

画像 改変されたhostsファイルのサンプル(Trend Microのブログより)

 このマルウェアは、感染したユーザーの「hosts」ファイルにエントリーを書き加え、ユーザーがGoogleやYahoo!などのサイトにアクセスしようとすると、マルウェアページにリダイレクトしてしまうという。

Copyright © ITmedia, Inc. All Rights Reserved.