Adobe製品になりすましたマルウェア、デジタル署名を偽造

Adobeが発行したというデジタル署名を持った不審な実行形式のファイルが発見された。

» 2013年06月18日 10時33分 公開
[ITmedia]

 シマンテックは6月17日、「Word13.exe」というAdobe Systemsの製品に見せかけた「Word13.exe」という不審なファイルを発見したとしてブログで注意を呼び掛けた。

 同社によると、この実行形式のファイルには、Adobe Systemsの発行と記されたデジタル証明書が付属していた。Adobe製品のように思えるが、AdobeはVeriSignが発行する証明書を利用しており、そもそもAdobeが発行すること無い。CAルート証明書も信頼できないものだった。

Adobe発行に見せかけたデジタル証明書と署名(シマンテックより)

 このファイルを同社では「Backdoor.Trojan」として検出している。実行してしまうと、Internet Explorerやノートパッドのファイルに不正コードを挿入してバックドアを作成、ポート3337を通じて攻撃者が設置したとみられる外部のコマンド&コントロールサーバに接続する。

 同社の分析ではマルウェアがユーザーや感染したコンピュータ、Skypeの情報を盗み出したり、スクリーンショットの取得やマウス機能のエミュレート、また、ファイルの作成やダウンロード、削除、移動、実行などをしたりする恐れのあることが分かった。

 マルウェア被害を回避するにはウイルス対策定義を常に最新し、ソフトウェアも定期的に更新する。ダウンロードのURLが提示された場合には必ずURLを再確認して、念のために証明書と署名も確認すべきとアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ