トレンドマイクロは、ワープロソフト「一太郎」に対するゼロデイ攻撃を3月11日に確認したことを明らかにした。
同社研究機関であるリージョナルトレンドラボが、3月11日に一太郎シリーズの脆弱性を攻撃対象としたトロイの木馬「TROJ_TARODROP.BA」について報告を受けたもの。攻撃発生当時は未対策の脆弱性だったが、ジャストシステムでは16日にアップデータを公開している。
問題のトロイの木馬は、ファイル名が日本語で出回っており、ウェブやメール経由により広がっていると見られている。感染した場合、情報漏洩など引き起こす「TROJ_AGENT.KLQW」がダウンロードされるという。
「TROJ_AGENT.KLQW」は、ファイルのタイムスタンプを正常なシステムファイルと同期することにより、フォレンジックによる検体採取を妨害するほか、ネットワークの接続環境を確認するため「download.windowsupdate.com」に接続するなど、感染を悟られないよう行動するのが特徴となっている。
さらにネット接続が確認された場合、URLリクエストに見せかけて内部のデータを外部へ送信。データを取得するサーバは、当初米国に設置されていたが、その後韓国へ変化した。データ送信後は不正プログラムをダウンロードするようプログラムされているが、15日の時点で接続はできない状態になっているという。
(Security NEXT - 2009/03/16 )
ツイート
関連リンク
PR
関連記事
「一太郎」や「Shuriken」などにコード実行の脆弱性 - アップデートが公開
「一太郎」に脆弱性、アップデートモジュールが公開
一太郎脆弱性、トレンドマイクロは9月にゼロデイ攻撃を確認
一太郎シリーズに複数の脆弱性 - アップデートが公開
一太郎の文字属性処理に脆弱性 - リモートでコード実行のおそれ
一太郎シリーズのフォント処理に脆弱性 - リモートでコード実行の可能性
一太郎シリーズに脆弱性、不正プログラム実行のおそれ
一太郎の書式処理に深刻な脆弱性 - アップデートが公開
「一太郎」の脆弱性、「三四郎」にも影響 - アップデートモジュールが公開
ジャストシステム、一太郎の脆弱性を解消するアップデートを公開
