セキュリティベンダーの米Websenseは7日、マルウェアの新しい手口について報告した。今回見つかったトロイの木馬は、動画ファイルを装っている。このファイルを開くと、YouTubeのビデオが表示されるが、バックグラウンドでスパイ活動を行う別のマルウェアがダウンロードされてしまう。トレンドマイクロでは、このトロイの木馬を「TROJ_BANLOAD.CZE」として検出する。
Websenseとトレンドマイクロの発表によると、このトロイの木馬をばらまいているのは、トップレベルドメインが「.su」(ソ連)の特定のサイト。ファイル名は「YouTube04567.exe」で、動画形式のアイコンで偽装されている。ファイルを開くとブラウザが起動してYouTubeへ接続され、「After World Episode 6」という動画が表示される。しかし、これは不正な活動を隠すためで、バックグラウンドでは別のサイトへのアクセスが行われ、ネットバンク関連の情報を盗み出す別のトロイの木馬(トレンドマイクロでは「TSPY_BANKER.JAT」として検出)がダウンロードされる。
Websenseでは、トロイの木馬をばらまくサイトへユーザーを誘導するための、メールやインスタントメッセージが出回っていると見ている。また、このトロイの木馬の挙動を撮影したビデオを、皮肉にもYouTubeで公開している。
(2007/06/15 ネットセキュリティニュース)
■Crimeware using YouTube deception[英文](WEBSENSE)
http://www.websense.com/securitylabs/blog/blog.php?BlogID=129
■ Robbery in the AfterWorld[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/robbery-in-the-afterworld/
■TROJ_BANLOAD.CZE(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FBANLOAD%2ECZE