動画が狙われている。米SANS Instituteは20日、無償の動画再生プレーヤソフトに見せかけたトロイの木馬が報告されたことを明らかにし、注意を呼びかけた。今回見つかったプログラムは、ウェブページの検索結果や登録されていないURLを直接打ち込んだ場合などに、特定の広告サイトへ誘導させるもの。このプログラムを悪用されると、たとえば銀行やショッピングなどの偽サイトへ誘導されてしまう恐れがある。
同じタイプのスパイウエアとしては、動画の圧縮再生を行なうコーデックを装った「Zlob」が有名。セキュリティベンダーのウェブルート・ソフトウェアによれば、トロイの木馬では9月に日本で検出されたスパイウェアの1位(10月には2位)だった。今回見つかったプレーヤーソフトも、この亜種として一部のウイルス対策ソフトでは検出されるものの、見つかりづらい仕掛けが施されているため検出しないソフトもある状況だ。
一方、米McAfeeによると既知のWindowsの脆弱性を悪用した「W32/Realor.worm」というプログラムも出回っている。これは動画を再生する裏でスクリプトを読み込ませ、「W32/Lewor.a」というウイルスを実行、パソコン内に保存されているRealMediaファイル(.rmvbファイル)を見つけると、特定のページリンクを張り込んでいくというもの。リンクが張り込まれたメディアを再生すると、細工が施されたウェブページが自動的に立ち上がり、脆弱性を悪用、別の悪意のあるプログラムをダウンロードしインストールする。つまりパッチを当てていないユーザは、ビデオを再生するだけで感染するおそれがあることになる。
さらには先ごろ日本でもベータ版サービスを開始したソーシャル・ネットワーキング・サービス(SNS)の「MySpace」の多数のユーザーページに、投稿ビデオサイト「YouTube」のビデオを装ったアドウェアをインストールさせるビデオが置かれるなど、動画をターゲットにしたウイルスの横行が目立つ。ブロードバンド化とYouTubeの影響もあって人気の高い動画だが、出所不明なファイルの再生や参照は避けるよう十分注意したい。
(2006/11/22 ネットセキュリティニュース)
■Taking a Look at the FreeVideo Player Trojan, (Mon, Nov 20th)[英文](SANS Institute)
http://isc.sans.org/diary.php?storyid=1873
■An Overview of the FreeVideo Player Trojan, (Sun, Nov 19th)[英文](SANS Institute)
http://isc.sans.org/diary.php?storyid=1872
■TROJ_ZLOB.BLQ(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FZLOB%2EBLQ
■W32/Realor.worm - Infecting Movies for Fun and Profit[英文](McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/?p=132
■Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)マイクロソフト
http://www.microsoft.com/japan/technet/security/bulletin/ms06-014.mspx
■Trojan Gets Real[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2006/11/virus_gets_real.html
■ウェブルート・ソフトウェア
http://www.webroot.com/jp/
【関連記事:ネットセキュリティニュース】
・リンクの先は闇~ MySpaceに偽YouTubeビデオ、Wikipediaも悪用される(2006/11/13)