ウイルスニュース - 2007/6/19

正規Webを改ざんし、複数のウイルスおよびセキュリティホールで攻撃するWebからの脅威が確認

2007年6月16日から、ヨーロッパでWeb経由での攻撃が確認されています。手口としては、正規Webサイトをハッキングし、Windows Explorerのセキュリティホールを攻撃する不正サイトにアクセスするタグを挿入するものです。

このような正規サイトの改ざんによるウイルス攻撃は、2007年に入ってから頻度が増しています。
今回は、特にイタリア語の正規Webサイトが集中的に狙われており、6月19日現在、1000以上のサイトでの改ざんを確認しています。

■今回の攻撃で使用されるウイルス

※ウイルス情報は各ウイルス名をクリックしてご覧ください。

■侵入方法およびウイルス活動

1. 改ざんによって「HTML_IFRAME.CU」（①）が埋め込まれたWebサイトを閲覧することにより、「JS_DLOADER.NTJ」（②）が埋め込まれたWebサイトへ勝手にアクセスします。
2. 「JS_DLOADER.NTJ」（②）はWindows Explorerのセキュリティホールを悪用し、「TROJ_SMALL.HCK」（③）を別の不正サイトよりダウンロード、実行します。
3. 「TROJ_SMALL.HCK」（③）は不正なWebサイトへ接続、「TROJ_AGENT.UHL」（④）や「TROJ_PAKES.NC」（⑤）をダウンロードします。
4. 「TROJ_AGENT.UHL」（④）はランダムなポートを開き、プロキシサーバとして活動します。これにより、不正リモートユーザは、感染したコンピュータを介して匿名のインターネット接続を行うことが可能になります。
5. 「TROJ_PAKES.NC」（⑤）は「TSPY_SINOWAL.BJ」（⑥）をダウンロードします。
6. 「TSPY_SINOWAL.BJ」（⑥）は入力したキー情報をもとに各種アカウント情報やパスワードを収集し、不正リモートユーザに送信します。

■侵入方法およびウイルス活動

■トレンドマイクロの対応状況

・ウイルスパターンファイル
4.539.00以降で対応済み（HTML_IFRAME.CU、JS_DLOADER.NTJ、TROJ_SMALL.HCK、TROJ_AGENT.UHL、TSPY_SINOWAL.BJ）
4.541.02以降で対応済み（TROJ_PAKES.NC）

・URL Filtering　　確認されているURLをブロック済み

■お勧めする対策

お使いのセキュリティ対策ソフトを最新の状態に更新してください。
お持ちでない方は下記をご利用ください。

• ウイルスバスター2007 トレンド フレックス セキュリティ 30日期間限定版 ダウンロード
  

他のウイルスをダウンロードする活動によって駆除が非常に困難になるケースが増えています。被害拡大の抑止にはURLフィルタリングが効果的です。
URLフィルタリング機能を持つ製品をご使用の場合には機能を有効にしてください。

• URLフィルタリングについて

Windows Explorerのセキュリティホールにより、リモートでコードが実行される (923191) (MS06-057)　のセキュリティホールに対する修正プログラムを適用してください。

• Windows Explorerのセキュリティホールについて