ITmedia NEWS > セキュリティ >
ニュース
» 2007年06月29日 09時02分 UPDATE

Storm Wormがまたまた猛威、「家族からのeカード」に注意

グリーティングカードを装ったスパムメールが大量発生。リンク先サイトでは、複数の脆弱性を順番に悪用してマルウェアに感染させようとする。

[ITmedia]

 「Storm Worm」のマルウェアを使った新手の攻撃として、今度はグリーティングカードを装ったスパムメールが大量に出回っている。SANS Internet Storm Centerが6月28日に報告した。

 Storm Wormは「Nuwar」「Peacomm」「Peed」などの別名を持つマルウェア。今回の攻撃では「You've received a postcard from a family member!」(家族の方からポストカードが届きました)という件名のスパムが出回っている(関連記事)。別の件名が付いている可能性もある。

 メール本文では、eカードを参照するためと称し、リンクをクリックするか、または指定のURLを開いてメールに記載されたeカード番号を入力するよう促している。

 リンク先のサイトでは、複数の脆弱性を順番に悪用する仕組みになっている。まずQuickTimeの脆弱性悪用を試み、うまくいかなければWinZipの脆弱性、それでもだめならWebViewFolderIconの脆弱性を悪用しようとする。

 マルウェアに感染させる方法だが、ユーザーのシステムでJavaScriptが有効になっているかどうかに応じて手口を使い分けている。

 JavaScriptが有効な場合、「tm.exe」というダウンローダーがインストールされ、そこから「logi.exe」というファイルを呼び込んでくる。

 もしJavaScriptが無効になっている場合は「現在新しいブラウザ機能をテスト中です。もしeカードを閲覧できない場合、ここをクリックしてください」と指示を出してリンクをクリックさせ、ユーザー自らの手で「ecard.exe」というマルウェアをダウンロードさせる。

 こうした手口でStorm Wormに感染したシステムは、マルウェアのホスティングやスパムメール送信に利用される。現在、米国や欧州など各国で感染が広がっているが、ウイルス対策ソフトでは検出できない場合もあるという。

Copyright © ITmedia, Inc. All Rights Reserved.