Internet Watch logo
記事検索
最新ニュース

Lhazへのゼロデイ攻撃は、「終戦記念日」に便乗した手口?


 トレンドマイクロは、17日に見つかった国産解凍ソフト「Lhaz」の脆弱性を突いた攻撃について、20日付でパターンファイルで対応した。同社製品では「TROJ_LZDROPPER.A」として検出する。また、TrendLabsが21日、同ウイルスの詳細についてブログで報告している。

 トレンドマイクロによれば、TROJ_LZDROPPER.Aの影響を受けるOSはWindows XP/2000およびWindows Server 2003で、Lhazのバージョン「1.33」がインストールされている環境で作動する。まず、Lhaz 1.33の脆弱性を攻撃し、それに成功すると、そのPCが日本語OSかどうか確認。日本語OSだった場合、Windowsのシステムフォルダに「wuausrv.dll」、TEMPフォルダに「sav.exe」というファイルを作成する。

 これらのファイルは、トレンドマイクロ製品では「BKDR_PROTUX.AK」として検出。BKDR_PROTUX.AKはバックドアに分類されるトロイの木馬で、ランダムなTCPポートを通じて不正リモートユーザーからのコマンドを実行するという。

 一方、20日付の「TrendLabs Malware Blog」によると、同社が入手したTROJ_LZDROPPER.Aの検体は、「.tgz」形式の拡張子を持った圧縮ファイルで、第二次世界大戦の年表を装っている。これをLhazで解凍すると、拡張子が「.tgz」でファイル名のないフォルダと、「第二次世界大戦年表.ppt」「第二次世界大戦年表.rtf」という文書ファイルが現われる。これらの文書ファイルには、Webサイトからコピーされたと思われる第二次世界大戦の年表が含まれているという。

 第二次世界大戦の年表が用いられたことについて同ブログでは、「8月15日が日本の終戦記念日であるため、ユーザーの興味をひきつけるためのタイムリーなソーシャルエンジニアリング手法として使われたと思われる」としている。

 同ブログではまた、BKDR_PROTUX.AKは、バックドアが容易に検出・駆除されないようにするために、Windowsの正規ファイルと同じ名称である「wuausrv.dll」が用いられていると指摘している。実際、両者のファイルのプロパティから「バージョン情報」を見ると、コピーライトや登録商標を表わすマーク以外はそっくりだという。

 なお、この脆弱性を修正したLhazの新バージョンが、まだベータ版段階だが、すでに公開されている。


【お詫びと訂正 2007/08/24 18:45】

 記事初出時、「TROJ_LZDROPPER.Aの検体は、『.TAG』形式の拡張子を持った圧縮ファイル」と記述しておりましたが、正しくは「.tgz」形式です。お詫びして訂正いたします。

 トレンドマイクロによると、このウイルスの拡散経路はメールの添付ファイルで、「第二次世界大戦年表.tgz」という名称の圧縮ファイルだとしています。


関連情報

URL
  トレンドマイクロの「TROJ_LZDROPPER.A」情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FLZDROPPER%2EA
  TrendLabs Malware Blogの該当記事(英文)
  http://blog.trendmicro.com/yet-another-japanese-zero-day-trojan-discovered/

関連記事
国産解凍ツール「Lhaz」の脆弱性を狙うゼロデイ攻撃(2007/08/20)
「Lhaz」の脆弱性を修正したベータ版が公開(2007/08/21)


( 永沢 茂 )
2007/08/22 16:52

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.