脆弱性

---

トレンドマイクロは、ワープロソフト「一太郎」に対するゼロデイ攻撃を3月11日に確認したことを明らかにした。

同社研究機関であるリージョナルトレンドラボが、3月11日に一太郎シリーズの脆弱性を攻撃対象としたトロイの木馬「TROJ_TARODROP.BA」について報告を受けたもの。攻撃発生当時は未対策の脆弱性だったが、ジャストシステムでは16日にアップデータを公開している。

問題のトロイの木馬は、ファイル名が日本語で出回っており、ウェブやメール経由により広がっていると見られている。感染した場合、情報漏洩など引き起こす「TROJ_AGENT.KLQW」がダウンロードされるという。

「TROJ_AGENT.KLQW」は、ファイルのタイムスタンプを正常なシステムファイルと同期することにより、フォレンジックによる検体採取を妨害するほか、ネットワークの接続環境を確認するため「download.windowsupdate.com」に接続するなど、感染を悟られないよう行動するのが特徴となっている。

さらにネット接続が確認された場合、URLリクエストに見せかけて内部のデータを外部へ送信。データを取得するサーバは、当初米国に設置されていたが、その後韓国へ変化した。データ送信後は不正プログラムをダウンロードするようプログラムされているが、15日の時点で接続はできない状態になっているという。

トレンドマイクロ
http://www.trendmicro.co.jp/

（Security NEXT - 2009/03/16更新）