マカフィーは6日、音楽ファイルや動画ファイルに偽装して悪質なサイトに誘導しようとするメディアファイル「Downloader-UA.h」が同社のウイルススキャンオンラインで大量に検出されているとして、注意を呼び掛けた。同社のウイルス検出情報によると、この1週間にスキャンしたパソコンの4台に1台から見つかっており、検出数は50万を超えるという。
Downloader-UA.hは、MP3やMPGなどの音楽や動画に見せかけたファイルで、ファイル共有ソフトLimeWire(ライムワイヤー)などで大量に流通している。その実体は、Windows Media Player(WMP)が使用するASF(Advanced Streaming Format)形式のファイルで、なかには音楽や動画は収録されておらず、特定のウェブサイトを開くスクリプトが仕込まれている。WMPを使ってファイルを開いても音楽や動画は再生されず、代わりにブラウザが立ち上がり、Webサイトから「PLAY_MP3.exe」をダウンロードしようとする仕掛けだ。
「PLAY_MP3.exe」はアドウェアのインストーラー。実行型のファイルなので、「このファイルを実行または保存しますか?」というセキュリティの警告画面が表示され、「実行」「保存」「キャンセル」の選択が促される。ここで「実行」を選ぶと、「FBrowsingAdvisor」「SurfingEnhancer」などという名称のアドウェアがインストールされてしまう。
ユーザーを悪質なサイトへ誘導したり、プログラムをインストールさせるために、さまざまな手口が使われている。ウェブアクセス機能を持つアプリケーションのデータファイルを使うのもそのひとつ。今回はWMPのメディアファイルが使われているが、他のメディアファイルやアプリケーションのドキュメントファイルなどでも、同様のことが可能なものは数多くある。
見かけは安全そうなファイルに見えても、開くと何が起こるかはわからないので、出所の明らかな信頼できるファイル以外は開かないこと。もし開いてしまった時にセキュリティの警告ダイアログボックスが出たなら、必ず「キャンセル」することをおすすめする。
■マカフィーのウイルス情報
・Downloader-UA.h(マカフィー)
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-UA.h
■その他の情報[英文]
・Fake MP3s Running Rampant(McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3s-running-rampant/
・Yet Even More Fake Media Files(McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2008/05/07/yet-even-more-fake-media-files/
・Scripts in ASF files(SANS Institute)
http://isc.sans.org/diary.html?storyid=4355
(2008/05/09 ネットセキュリティニュース)