Internet Watch logo
記事検索
最新ニュース

価格.comのウイルス、MMORPG「リネージュ」起動中に活動することが判明

シマンテックが発表

 11日から14日にかけて価格.comを介して感染を拡大したとされるトロイの木馬型ウイルス「Trojan.Jasbom」(シマンテックによる呼称)は、脆弱性「MS04-013」を悪用するもので、MMORPG「リネージュ」の起動中にキー入力情報などを外部に送信することがわかった。シマンテックが解析している。

 Trojan.Jasbomは、Outlook Express用累積的修正プログラムとして2004年4月に公開された「MS04-013」に含まれる「Internet Explorer ITSプロトコルゾーンバイパスの脆弱性」を悪用する。悪質なURLをクリックすると、デフォルトに設定されたブラウザに「j4sb.com」ドメインのWebページを表示させ、この脆弱性を突いて同サイトにあるCHM形式のファイルを実行させるという。

 該当するCHMファイルは、「explorer.exe」「htdll.dll」という2つのファイルをWindowsのシステムフォルダに作成するほか、「GaMeJTT1.TXT」というファイルをCドライブ直下に作成する。explorer.exeの追加とレジストリキーの改竄が行なわれ、システム起動時に必ずTrojan.Jasbomが実行されるようになり、htdll.dllを使ってキー入力情報を記録。GaMeJTT1.TXTに含まれるメールアドレスに対してキー入力情報をメール送信する仕組みだ。

 シマンテックによれば、Trojan.JasbomはPC用MMORPG「リネージュ」を起動している時のみ、ゲーム内でタイプされた情報やマウスクリック情報、アプリケーションメモリ上にある情報を保存し、j4sb.comドメインにあるWebサイトに送信するという。

 なお、早い段階で価格.comのウイルスを検出したウイルス対策ソフト「NOD32」では、「trojandownloader.small.AAO」「PSW.Delf.FZ」という2種類のトロイの木馬型ウイルスを検出していた。シマンテックによれば、Trojan.Jasbomはこれら2つのウイルスを含むものだという。シマンテックでは、ウイルスパターンファイルのバージョン「70516v」で対応しており、各製品のLiveUpdateで適用できる。専用の駆除ツールも公開している。

 また、トレンドマイクロではPSW.Delf.FZをTROJ_DELF.RMとして検出していたが、こちらではMS04-013を悪用するウイルスについて「CHM_DELF.RM」として検出したとしている。


関連情報

URL
  Trojan.Jasbom専用駆除ツール(シマンテック、英文)
  http://securityresponse.symantec.com/avcenter/venc/data/trojan.jasbom.removal.tool.html
  Trojan.Jasbom(シマンテック)
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.jasbom.html
  CHM_DELF.RM(トレンドマイクロ)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_DELF.RM

関連記事
価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)
「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧(2005/05/16)
トレンドマイクロ、価格.comで問題になったウイルスに対応
~価格.comではNOD32の体験版を配布(2005/05/16)

任意コードの実行が可能な脆弱性を含むOutlook Express用累積的パッチ(2004/04/14)


( 鷹木 創 )
2005/05/17 12:53

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.