 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
IEの「createTextRange()」メソッドの脆弱性を悪用するウイルス |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
米Symantecは27日、Internet Explorer(IE)の「createTextRange()」メソッドの脆弱性を悪用するウイルス「Trojan.Stranget.B」を警告した。危険度は5段階中で最も低い“1”。 Trojan.Stranget.Bは、以前は「Keylogger.Stranget.B」として検知されていたウイルス。キーストロークのログやパスワードなどの情報を盗み取り、盗んだ情報を攻撃者へ送信する。 ウイルス本体に記録してあるURLからファイルをダウンロードしてFTPサーバーを開くのが特徴で、この際にIEの「createTextRange()」メソッドの脆弱性を悪用する。また、シェルコマンドなどによってシステム情報を取得し、それら情報を含んだファイルはメール添付、もしくはFTPサーバー経由で攻撃者に送信する。FTP経由の場合は「www.projecx.net」というドメインに送信するという。 このほか、「ZONEALARM.EXE」「WFINDV32.EXE」「WEBSCANX.EXE」「SCANPM.EXE」「RESCUE.EXE」「NAVW32.EXE」など106のプロセスを止める。この中にはセキュリティ関連のプロセスも含まれている。 Symantecによれば、Trojan.Stranget.Bは拡張性が高いトロイの木馬なため、攻撃者によってアップデートが加えられる可能性もある。Symantecが得た検体では、ファイルをダウンロードするURLを含んでいなかったが、「攻撃者によってバージョンアップした可能性ある」という。また、FTP経由でのファイル送信も、「www.projecx.net」のほか「Inf-x.org」や「66.98.132.67」があったとしている。 なお、Symantecでは、このTrojan.Stranget.Bをダウンロードするトロイの木馬「Download.Fullalc」も危険度“1”で警告している。 Download.Fullalcは、「www.4onlinecasino.net」「www.airlinetickets247.com」「www.apc-batna.net」「www.atulya.com」「www.buenaventura-lakes.com」「www.excelenergyservices.com」「windsor-palms-resort.com」といったサイトにユーザーがアクセスした際に「ca.exe」というファイルでダウンロードされる。 このトロイの木馬が実行されると、あらかじめ決められたサイトから「calc.exe」というファイルをダウンロード。このcalc.exeがTrojan.Stranget.Bをダウンロードしてくるという。 関連情報 ■URL Trojan.Stranget.B(英文) http://www.symantec.com/avcenter/venc/data/trojan.stranget.b.html Download.Fullalc(英文) http://www.symantec.com/avcenter/venc/data/download.fullalc.html ■関連記事 ・ IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒(2006/03/27) ・ IEの「createTextRange()」メソッドの脆弱性、4月の月例パッチで修正(2006/03/27) ・ IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定(2006/03/24) ・ IEに未パッチの脆弱性、Microsoftでも確認済み(2006/03/23)
( 鷹木 創 )
- ページの先頭へ-
|
