今月初めから出回っているMicrosoft Outlookユーザーを狙ったウイルスメールが、未だしつこく続いている。
上旬から中旬にかけて出回っていたのは、Outlookの設定と称して添付ファイルやリンク先のファイルを開かせようとするタイプだったが、23日頃からは、マイクロソフトのセキュリティアップデートを装う偽サイトに誘導する新型が登場した。
内容は、ソフォスが18日付けのブログで公表したタイプの偽サイト誘導版。セキュリティパッチ「Update for Microsoft Outlook / Outlook Express(KB910721)」と称して、「officexp-KB910721-FullFile-ENU.exe」をダウンロードさせようとする。もちろん実態はセキュリティパッチなどではなく、実行しようものなら、パスワードの盗み取りや他のコンポーネントのダウンロード、システムを乗っ取る機能などを持つ「Zbot」と呼ばれるトロイの木馬がインストールされる。
偽サイトには、MDAC(Microsoft Data Access Components)などの古い脆弱性を突いて自動実行させるコードのリンクも含まれており、何年もアップデートを行っていないパソコンでは、偽サイトにアクセスするだけで感染してしまう。偽サイトのURLが「update.microsoft.com」で始まっているため、うっかりするとクリックしてしまうかも知れない。
今回の攻撃の特徴は、ボットネットを使ってウイルス配布用の偽サイトが構築されている点。ゾンビPCなどと呼ばれるボット化された一般ユーザーのパソコンを外部から操り、稼働中のユーザーのパソコンをWebサーバー化し、ネット上に偽サイトを公開しているのだ。ちなみに、このボットネットでは現在、JPMorganのCHASE銀行と、ネットオークションのeBayのフィッシングサイトも同時に運営されていたりする。
悪用されているドメインは次々に停止に追い込まれているが、その一方で攻撃者も次々と大量のドメイン名を繰り出しており、29日午後現在も、いくつかが稼働している。配布中のウイルスもしばしば中身が更新されており、タイミングによってはウイルス対策ソフトが検出できないこともあるので注意が必要だ。
(2009/06/29 ネットセキュリティニュース)
■Fake Microsoft Security Alert - KB910721[英文](ソフォス)
http://www.sophos.com/blogs/sophoslabs/v/post/4889