 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
価格.comのウイルス、MMORPG「リネージュ」起動中に活動することが判明 |
||||||||
|
||||||||
|
シマンテックが発表
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
11日から14日にかけて価格.comを介して感染を拡大したとされるトロイの木馬型ウイルス「Trojan.Jasbom」(シマンテックによる呼称)は、脆弱性「MS04-013」を悪用するもので、MMORPG「リネージュ」の起動中にキー入力情報などを外部に送信することがわかった。シマンテックが解析している。 Trojan.Jasbomは、Outlook Express用累積的修正プログラムとして2004年4月に公開された「MS04-013」に含まれる「Internet Explorer ITSプロトコルゾーンバイパスの脆弱性」を悪用する。悪質なURLをクリックすると、デフォルトに設定されたブラウザに「j4sb.com」ドメインのWebページを表示させ、この脆弱性を突いて同サイトにあるCHM形式のファイルを実行させるという。 該当するCHMファイルは、「explorer.exe」「htdll.dll」という2つのファイルをWindowsのシステムフォルダに作成するほか、「GaMeJTT1.TXT」というファイルをCドライブ直下に作成する。explorer.exeの追加とレジストリキーの改竄が行なわれ、システム起動時に必ずTrojan.Jasbomが実行されるようになり、htdll.dllを使ってキー入力情報を記録。GaMeJTT1.TXTに含まれるメールアドレスに対してキー入力情報をメール送信する仕組みだ。 シマンテックによれば、Trojan.JasbomはPC用MMORPG「リネージュ」を起動している時のみ、ゲーム内でタイプされた情報やマウスクリック情報、アプリケーションメモリ上にある情報を保存し、j4sb.comドメインにあるWebサイトに送信するという。 なお、早い段階で価格.comのウイルスを検出したウイルス対策ソフト「NOD32」では、「trojandownloader.small.AAO」「PSW.Delf.FZ」という2種類のトロイの木馬型ウイルスを検出していた。シマンテックによれば、Trojan.Jasbomはこれら2つのウイルスを含むものだという。シマンテックでは、ウイルスパターンファイルのバージョン「70516v」で対応しており、各製品のLiveUpdateで適用できる。専用の駆除ツールも公開している。 また、トレンドマイクロではPSW.Delf.FZをTROJ_DELF.RMとして検出していたが、こちらではMS04-013を悪用するウイルスについて「CHM_DELF.RM」として検出したとしている。 関連情報 ■URL Trojan.Jasbom専用駆除ツール(シマンテック、英文) http://securityresponse.symantec.com/avcenter/venc/data/trojan.jasbom.removal.tool.html Trojan.Jasbom(シマンテック) http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.jasbom.html CHM_DELF.RM(トレンドマイクロ) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_DELF.RM ■関連記事 ・ 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16) ・ 「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧(2005/05/16) ・ トレンドマイクロ、価格.comで問題になったウイルスに対応 ~価格.comではNOD32の体験版を配布(2005/05/16) ・ 任意コードの実行が可能な脆弱性を含むOutlook Express用累積的パッチ(2004/04/14)
( 鷹木 創 )
- ページの先頭へ-
|
