Internet Watch logo
記事検索
最新ニュース

パッチ未公開の脆弱性を利用してDNS設定を変更するウイルス「QHosts」


 日本ネットワークアソシエイツ(NAC)やシマンテックなどウイルス対策ベンダー各社は、まだセキュリティ修正パッチが提供されていないInternet Explorerの脆弱性を利用してDNS設定の変更などを行なうトロイの木馬型ウイルス「QHost」を警告した。感染力は低いものの、根本的な対策が難しいため、注意が必要だ。

 QHostは、悪意のあるコードが埋め込まれたHTMLファイルを開いた際に実行されるトロイの木馬型のウイルス。QHost自身は拡散能力を持っていないため、ユーザーがこのような悪意のあるWebサイトを訪れ、そこに埋め込まれているVBScriptが実行されなければ感染することはない。ただし、現在のところ発見されていないものの、HTMLメールやP2Pファイル交換ソフトなどを利用して感染を拡大される可能性もある。

 QHostが含まれているHTMLファイルを開くと、まず「%System%\aolfix.exe」が作成される。この「aolfix.exe」は、隠しディレクトリを作成し、ランダムな数値を組み合わせたバッチファイルを作成・実行する。このバッチファイルはさまざまなレジストリ値を変更し、DNS設定を改変する。DNS設定を変更されることにより、googleやaltavistaなどにアクセスしようとしても、特定のアドレスにリダイレクトされる可能性があるほか、問い合せ先DNSサーバーを変更し、求めるドメインと異なるIPアドレスにアクセスしてしまう可能性がある。

 QHostは、Internet Explorerのまだセキュリティ修正パッチが提供されていない「IEのObject Dataタグ」の脆弱性を利用している。この脆弱性は、IEのObject Dataタグが原因となっているもので、Webサーバーが細工されたレスポンスを返した際に、ブラウザ側が誤ってActiveXなどを実行してしまうというものだ。QHostはこの脆弱性を悪用し、自身のコードを実行させている。

 このように、QHostはセキュリティ修正パッチが提供されていない脆弱性を利用しているため、根本的な対策をとることは難しい。しかし、IEの設定でActiveXコントロールを無効にすることなどにより一時的に回避することは可能だ。

 具体的には、IEの「インターネットオプション」で「セキュリティ」タブの「レベルのカスタマイズ」を選択、「ActiveXコントロールとプラグインの実行」を「無効にする」にすればよい。また、導入しているウイルス対策ソフトがQHostに対応している場合は、対策済みのウイルス定義ファイルに更新することや、上級者であればレジストリを修正することでも対策可能なほか、ネットワーク管理者であればファイアウォールの設定を変更して対応することもできる。

 NACやシマンテックによると、現在のところ日本ではほとんど実害が見つかっていないという。しかし、現状では根本的な対策が難しいため、Webサイトの訪問やバナーをクリックする際には十分な警戒が必要だ。


関連情報

URL
  NAC「QHosts-1」
  http://www.nai.com/japan/security/virPQ.asp?v=QHosts-1
  シマンテック「Trojan.Qhosts」
  http://www.symantec.co.jp/region/jp/sarcj/data/t/trojan.qhosts.html


( 大津 心 )
2003/10/03 12:54

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.