Broadband Watch logo
最新ニュース
【 2009/12/25 】
【 2009/12/24 】
メールのリンクをクリックするだけで感染、IEの脆弱性を突くMydoom.AH

 マカフィーやシマンテック、トレンドマイクロなどのセキュリティベンダーは8日、ウイルス「Mydoom」の亜種である「Mydoom.AH」を警告した。Internet Explorer(IE)のIFRAMEタグの脆弱性を突いたもので、感染したPCから送信されたメール中のリンクをクリックするだけで感染する危険がある。マカフィーでは危険度を“中”、シマンテックでは5段階中の“2”、トレンドマイクロでは“低”と評価している。

 この脆弱性は、IFRAMEタグの処理において長すぎる文字列が含まれる場合にバッファオーバーフローが引き起こされ、悪意のあるHTMLドキュメントを通じて外部から任意のコードが実行されてしまう可能性があるというもの。デンマークのセキュリティベンダーであるSecuniaでは、Windows XP/2000上のIE 6で確認したとして、危険度が最も高い“Extremely critical”で警告していた。セキュリティ修正プログラムはまだ提供されていないが、Secuniaによれば、Windows XP SP2のIE 6では脆弱性を確認できなかったという。

 今回発見されたMydoom.AHは、大量メール送信型のウイルスで、感染したPC内から収集したメールアドレス宛にウイルスメールを送信することで繁殖する。ウイルスメールの件名は、「hi!」「hey!」「Confirmation」などで、差出人は詐称されている。本文は、PayPalからの決済手続き確認メールを装って詳細確認ページへのアクセスを促す内容のものと、マイアミに住む人物が友達が欲しいとして自分のホームページを訪問するよう促すもの2種類の計3種類が確認されている。

 従来のMydoom亜種と異なるのは、Mydoom.AHにはファイルが添付されていないこと。その代わりに、送信元の感染PC上で動作しているWebサーバーへのリンクがメール本文に含まれている。Webサーバーには、IFRAMEの脆弱性を悪用したHTMLが仕掛けられており、ウイルスメールを受け取ったユーザーがリンクをクリックしてアクセスすると、IEでバッファオーバーフローが発生し、PCにリモートファイルをダウンロード。ローカルにファイルを保存して実行し、TCP 1639番ポートにバックドアを開くとともに、TCP 6667番ポートでIRCサーバーへの接続も試みる。

 マカフィーでは同日、Mydoom.AHと酷似したウイルス「Mydoom.AG」についても危険度“低(要注意)”で警告している。Mydoom.AGでは、ウイルスメールの件名が「funny photos :) 」「hello」「hey!」などで、本文は「Look at my homepage with my last webcam photos!」または「FREE ADULT VIDEO! SIGN UP NOW!」となっている。差出人が詐称されている点や、IFRAMEの脆弱性を突いて感染を広げる点などはMydoom.AHと同じだ。なお、シマンテックやトレンドマイクロでは10月26日にMydoom.AGというウイルスを警告しているが、これはマカフィーが今回警告したものとは別種だ。

 感染した場合は、最新のウイルス定義ファイルを使ってスキャンし、ウイルスとして検出されたファイルを全て削除した上、改変されたレジストリ情報を修正する。Windows XP/Meでは、あらかじめ「システムの復元オプション」を無効にしておく必要がある。


【20:30 追記】
 シマンテックも、Mydoom.AGを「Mydoom.AI」と命名して危険度“2”で警告。また、トレンドマイクロでもMydoom.AGを危険度“中”で警告した(ただし、同社のウイルス対策製品では「WORM_MYDOOM.AI」として検出。10月26日に警告した旧Mydoom.AGは「Mydoom.AF」に改称)。なお、トレンドマイクロではその後、Mydoom.AHの危険度を“中”に引き上げている。


関連情報

URL
  シマンテックのウイルス辞典「W32.Mydoom.AH@mm」
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.ah@mm.html
  トレンドマイクロのウイルスデータベース「WORM_MYDOOM.AH」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.AH
  マカフィーのウイルス情報「W32/Mydoom.ah@MM」
  http://www.mcafeesecurity.com/japan/security/virM.asp?v=W32/Mydoom.ah@MM
  マカフィーのウイルス情報「W32/Mydoom.ag@MM」
  http://www.mcafeesecurity.com/japan/security/virM.asp?v=W32/Mydoom.ag@MM
  シマンテックのウイルス辞典「W32.Mydoom.AI@mm」
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.ai@mm.html
  トレンドマイクロのウイルスデータベース「WORM_MYDOOM.AG」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.AG
  関連情報:Internet Explorer 6にバッファオーバーフローを引き起こす深刻な脆弱性[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/news/2004/11/04/5259.html
  関連情報:米Symantec、メールやP2Pソフトで感染するウイルス「Mydoom.AG」を警告[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/news/2004/10/27/5158.html


(永沢 茂)
2004/11/09 19:00
Broadband Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.