圧縮/解凍ソフトのDirectory Traversal問題を悪用する「Nullporce亜種?」

いくつかの圧縮/解凍ソフトウェアに存在したDirectory Traversal問題を悪用する「Nullporce亜種」による被害が出ているようだ。

» 2004年08月12日 02時33分 公開
[高橋睦美,ITmedia]

 7月末以降、P2Pソフト「Winny」経由で拡散するトロイの木馬「Nullporce」の亜種による被害が出ている模様だ。今のところ、ウイルス対策ベンダーによる警告は出されていないが、複数の被害者が報告されている。

 Nullporceは、Winny経由で拡散するトロイの木馬だ。オリジナルのNullporceはファイルの実行によって直接感染するが、7月下旬〜8月上旬にかけて蔓延しているのは、いくつかの圧縮/解凍ソフトウェアに存在したDirectory Traversal(ディレクトリまたぎ)問題――いわゆる「圧縮ファイル解凍の脆弱性」――を悪用している亜種と見られる。

 このNullporce亜種は、細工を施した圧縮ファイルの形で流通している。このファイルを、「Lhasa」「+Lhaca」や「Explzh」の旧バージョンなど、ユーザーの意図しない場所にアーカイブが展開されるDirectory Traversal問題が存在する圧縮/解凍ソフトウェアで、特に解凍先を指定することなく展開すると、Windows XP起動時に必ず実行される「スタートアップ」フォルダ内にトロイの木馬本体が送り込まれる。この結果、次にPCを立ち上げた際に、勝手にトロイの木馬が実行されてしまい、ユーザーのデスクトップにダメージが与えられるという。なお、このDirectory Traversal問題は、旧バージョンのUNLHA32.DLLなどにも存在しており、これらDLLファイルに依存する圧縮/解凍ソフトにも影響が及ぶ。

 感染被害の内容にはややばらつきがあり、亜種が1種類なのか、あるいは複数存在するかも含め、ウイルス対策ベンダー各社のWebサイトにはまだ、Nullporce亜種についての情報は見当たらない。したがって、ウイルス対策ソフトウェアでブロックすることは困難と思われる。「C:ドライブでは圧縮ファイルを操作しない」「解凍する場合には自ら解凍先のパスを指定するか、目視で解凍先を確認する」「警告を表示させるなどしてこの問題を修正した圧縮/解凍ソフトウェアを利用する」、あるいはそもそも「不審な圧縮ファイルは解凍しない」といった対策で自衛することが第一となりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ