シマンテックは、Internet Explorer(IE)に存在するドラッグ&ドロップに関連する脆弱性を利用したウイルス「Backdoor.Akak」を警告した。危険度は“1”だが、この脆弱性に対する修正プログラムは提供されていないため、注意が必要だ。
Backdoor.Akakは、侵入先のPCやシステムにSOCKSプロキシを作成し、バックドアを開くトロイの木馬型ウイルス。ドラッグ&ドロップに関連する脆弱性を利用したコードが含まれる有害なWebサイトにアクセスすることで感染する。
Backdoor.Akakが実行されると、Windowsのスタートアップフォルダに「Testexe.exe」「Rb.exe」といったファイルをダウンロード。ユーザーがWindowsを起動すると、それらのファイルを実行する。その後、ウイルス自身をサービスとして登録し、ユーザーがログオフしてもバックドアを開放し続けるように設定するという。
具体的には、レジストリキー「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」に、「"RamBooster2"="%System%\rb.exe"」という値を作成。Windows起動時に毎回、トロイの木馬が実行されるように設定を変更する。Windows 2000/XPの場合は、「net stop SharedAccess」というコマンドを実行。SharedAccessサービスが無効になり、Windows XPの場合は「インターネット接続ファイアウォール(ICF)」も無効になってしまう。
また、TCP 4321番ポート上の「202.104.242.156」に存在するマスターサーバーに接続し、システムフォルダの「lhosts.txt」に保存される情報をダウンロード。リモートからの攻撃を待機する。続いて、TCP 5555番ポートにSOCKSプロキシを作成し、侵入先のコンピュータがHTTPのようなプロキシプロトコルに利用できるようにするという。
なお、攻撃者は「システム情報の入手」「侵入先のコンピュータでのファイルダウンロードや実行」「バックドアのアンインストール」「マスターサーバーアドレスの更新」が可能だ。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Backdoor.Akak」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
Windows 2000/XPの場合は、無効化されたSharedAccessサービスを有効に再設定する必要がある。Windows XP Service Pack 2(SP2)でICFを利用していた場合は、再設定時に「ファイアウォールが不明である」という警告バルーンが表示されてしまうため、「セキュリティセンター」の設定でファイアウォール機能を有効にしなければならない。
関連情報
■URL
ウイルス情報
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.akak.html
■関連記事
・ IE 5.01~6に、最も危険でパッチ未公開の4種類の脆弱性が発見される(2004/07/14)
( 鷹木 創 )
2004/09/06 16:35
- ページの先頭へ-
|