朝日新聞社は20日、大学進学情報の広告サイト「キャンパス・アサヒコム」を閲覧することで感染する可能性があったウイルスの名称と駆除の方法を公表した。2002年3月に公開された「Internet Explorer用の累積的な修正プログラム(MS02-015)」の脆弱性の1つを悪用するウイルスだったことがわかった。
キャンパス・アサヒコムは10月17日頃から18日17時30分頃にかけて、外部サイトへ自動接続するリンクをトップページに書き込まれる改竄を受けていたことが判明している。リンク先のサイトからはウイルスがダウンロードされるよう仕掛けられていたため、この期間にキャンパス・アサヒコムを閲覧したPCがウイルスに感染した可能性があった。
感染する恐れがあったのは、「CHM_DROPPER.CP」「TROJ_DROPPER.PC」「BKDR_PCCLIENT.BV」という3つ。トレンドマイクロによると、CHM_DROPPER.CPはCHM形式(コンパイル済みHTMLヘルプファイル)の不正プログラムだ。このCHMファイルが開かれると、MS02-015の「Objectタグの処理に関係する脆弱性」を突き、「fucksnow.exe」というファイルをダウンロードして実行する。トレンドマイクロでは、fucksnow.exeをTROJ_DROPPER.PCとして検知する。
fucksnow.exeが実行されると、レジストリを改変するとともに、Windowsのシステムフォルダ内に「Yndbybmh.dll」「Yndbybmh.d1l」というファイルを作成する。さらにルートキット機能を持つ「Yndbybmh.sys」がサービスとしてレジストリに登録される。これらのファイルは、トレンドマイクロではBKDR_PCCLIENT.BVとして検知する。BKDR_PCCLIENT.BVは、バックドア活動を行なう不正プログラムだ。
朝日新聞社では、BKDR_PCCLIENT.BVの感染確認と駆除の方法として、トレンドマイクロが公開した専用駆除ツールを紹介している。同ツールは、トレンドマイクロのサイトからダウンロード可能だ。
関連情報
■URL
キャンパス・アサヒコム「ウイルスに関する情報と駆除の方法について」
http://www.campusasahi.com/
専用駆除ツールダウンロードページ(トレンドマイクロ)
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=12317
■関連記事
・ asahi.comの広告サイトが不正アクセスで閉鎖~閲覧者はウイルス感染も(2005/10/20)
( 永沢 茂 )
2005/10/21 18:01
- ページの先頭へ-
|