「Scob」「Download.ject」の新種と見られるIISに感染する悪質コードが発見された。新種はIMを経由してユーザーを感染サイトに誘導する。(IDG)
MicrosoftのInternet Information Services (IIS) Webサーバに感染して拡散するワームが6月に発見されたが、今度はインスタントメッセージング(IM)を利用する同ワームの亜種が出現、ロシアとウルグアイ、米国のWebサイトに感染して繁殖しようとしていると、あるセキュリティ企業が報告した。
米PivX Solutionsの研究者が発見した新たな不正コードは、大規模な攻撃を引き起こした「Scob」あるいは「Download.ject」と呼ばれる不正コンピュータコードに酷似している。今回の攻撃では広く普及しているIMを利用、Download.jectに似た不正コードを撒き散らすWebサイトにインターネットユーザーを呼び寄せていると、PivXの上級セキュリティ研究者、ソア・ラーホルム氏は説明する。
この攻撃は、America Online(AOL)のAOL Instant Messenger (AIM)またはICQのユーザーに送られたメッセージで始まる。このメッセージは「私の新しいホームページをチェックして!」といった言葉で、特定のWebページへのリンクをクリックするよう促す。メッセージの送り主は知らない相手のこともあれば、いつもIMでやり取りしている「友達」の場合もあるという。
このリンクをクリックすると、ウルグアイ、ロシア、米国のサーバでホスティングされている複数の攻撃用Webページの一つに誘導され、ここからトロイの木馬プログラムがダウンロードされる。
被害者のコンピュータには「裏口」が開かれて不正プログラムがさらにダウンロードできる状態になるほか、ブラウザのホームページやOutlookの電子メール検索ページも変えられて、アダルトコンテンツが表示されるとラーホルム氏。
被害者のマシンに不正コードが置かれているかどうかはPivXでまだ分析中だが、この新ワームが使っているファイルの多数、および攻撃方法から判断すると、6月にScob攻撃を仕掛けたのと同じグループに結びつくとラーホルム氏は言う。
攻撃用のWebサイトは、Internet Explorer(IE)とOutlookの脆弱性を利用している。Microsoftからはパッチがリリース済みだが、パッチを適用していないシステムに不正コードを置いて実行されている。この脆弱性はMicrosoftの「MS03-025」「MS03-040」で対応している。
ラーホルム氏によれば、ウイルス対策各社にも今回の不正コードについて情報を提供したが、8月19日現在、まだウイルス定義ファイルはリリースされていないという。
Copyright(C) IDG Japan, Inc. All Rights Reserved.