続報:価格.comだけではなかったWeb改ざん、改めて検査と警戒を

改ざんされた「価格.com」経由で広がったトロイの木馬への対応は進んでいるが、一方で、他のWebサイトでも同様の被害が確認された。十分な警戒が必要だ。

» 2005年05月17日 23時05分 公開
[高橋睦美,ITmedia]

 オンライン価格比較サイト「価格.com」が不正アクセスを受け、Windowsのパッチを適用していないユーザーに感染するトロイの木馬「trojandownloader.small.AAO」「PSW.Delf.FZ」(いずれもNOD32での名称)が仕込まれたという事件に関連し、各社の対応が進んでいる。

 だが一方で、5月17日になって、価格.comのサイト以外にも2つのWebサイトが不正アクセスを受けたことが明らかになった。いずれも価格.com同様、Webページが改ざんされ、悪意あるサイト経由で、MS04-013のパッチを適用していないPCにトロイの木馬「TROJ_DELF.RM」(トレンドマイクロの名称)を仕込む状態になっていたという。

 被害がどこまで広がっているかは不明だが、これまでに少なくとも3つのWebサイトが不正アクセスを受け、トロイの木馬をばら撒くコードが仕込まれていたわけだ。となるとこれら以外にも、同様の不正アクセスを受け、それが顕在化していないWebサーバが存在する可能性は否定できない。特に怪しむことのない、普段からアクセスしているWebサイトに、価格.comと同様のトラップが仕掛けられていた恐れがある。

 改めて、各社が提供する専用検出/駆除ツールを用いて手元のPCがこのトロイの木馬に感染していないかどうかを検査するとともに、「Windows Updateによるパッチの適用」「利用しているウイルス対策ソフトの定義ファイル更新」を徹底しておきたい。

 またInternet Explorerを利用している場合、多少不便にはなるがJavaスクリプトの実行をオフにすることで、少なくともスクリプト経由でトロイの木馬がインストールされることを防ぐことができる。あるいは、IE以外のWebブラウザを利用するのもひとつの手だ。

 なお、手元で確認したスクリプトや各社の情報からは「j4sb.com」というドメインが非常に怪しい(=悪意あるWebサイトである)ことが分かる。他にも同じ悪意あるファイルが用意されているサイトが存在する模様だが、少なくともj4sb.comへのアクセスを制限することも、当面の解決策にはなるだろう。

ウイルス対策ソフト各社の対応、解析進む

 運営元のカカクコムでは5月17日も引き続きWeb上の情報を数度にわたって更新し、各ウイルス対策ソフトの対応状況を公開している。

 これによると、NOD32やトレンドマイクロ、シマンテックに加え、5月17日に入ってマカフィーが「JS/Exploit-MhtRedir.gen」および「PWS-Lineage!chm」の名称で、当該ウイルスの検出に対応した。他にソースネクストのウイルスセキュリティでは「Trojan.Psteal.Delf.fz」の名称で、アンラボのV3ウイルスブロック2005では「Win-Trojan/Small」および「Win-Trojan/Delf」の名称で、それぞれ検出できるようになった。このまとめページからは、各社へのリンクも張られている。

 またシマンテックでは、当初木曜日に予定されていたLiveUpdateでの対応を早め、5月16日22時に配信したほか、専用駆除ツールを公開した。

 既報のとおり、このトロイの木馬はWindowsのMS04-013の脆弱性を悪用したファイルを通じてPCへの感染を試みる。シマンテックやマカフィーの解析によると、いったんPCに入り込むと、Windowsのシステムフォルダに「explorer.exe」「htdll.dll」という2つのファイルを、またCドライブの下に「GaMeJTT1.TXT」というファイルを作成するほか、レジストリキーの改ざんを行う。

 さらに、オンラインゲームの「リネージュ」を起動した場合、ゲーム内でタイプされたキーストロークやマウスクリック、さらには一部のメモリ情報のダンプを記録し、j4sb.comドメインのWebサイトに送信する仕組みになっているという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ