■Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
攻撃サイトには、誘導サイトの閲覧者に難読化されたJavaScriptを送り込み、脆弱性攻撃を仕掛ける不正なPHPページが設置される。攻撃サイト自体には、それを実行したり、他の攻撃サイトに誘導するためのリンクを埋め込んだりといった改ざんは行われておらず、ひたすら誘導サイト側の閲覧者に対しての攻撃に徹している。このため、攻撃サイトを直接訪問したユーザーがウイルスに感染することはないが、そのサイトが攻撃サイト用に改ざんされていることにも気付きにくくなっている。
不正なPHPページは、最初に実行させるJavaScriptから最終的に実行させるプログラム(EXEファイル)までを一括管理しており、検出されにくくするためのアクセス制御や攻撃コードの動的生成機能も備えているようだ。アクセス拒否にあったり、ダウンロードしたコードが異なっていたりといった挙動に振り回されつつ、編集部で採取できたものを統合すると、現時点での攻撃対象は、Adobe Reader、Flash Player、Internet Explore(MS09-002)、Microsoft Office Web Components(MS09-043)の4点。
いずれも、修正済みの脆弱性ばかりなので、これらを最新の状態にしておけば、攻撃を受けてもトロイの木馬が自動的にインストールされるようなことはない。
■JavaScriptコード、SWFファイル、EXEファイルの検出率
調査した誘導サイト16件の誘導先に、ネット上で報告されていた日本国内の攻撃サイトを加えた計19の攻撃サイトのJavaScriptコードを、先のVirusTotalでチェックしたところ、25日時点でカスペルスキーが「Trojan-Downloader.JS.Gumblar.x」の検出名で全件を、Avastが「JS:Downloader-FA」または「JS:Downloader-FC」で全件を検出。G Dataが「JS:Downloader-EZ」で13件を検出した。ちなみに前日に行った3件の事前調査では、カスペルスキー以外は全滅だった。
Adobe Reader攻撃用のPDFファイルや最終的に実行するウイルス本体などは、いずれも同じページに特定のパラメータを渡してダウンロードする仕組みになっている。検体はあまり採取できていないが、VirusTotalでのチェックでは、PDFファイルやFlash Player攻撃用のSWFファイルの検出率はJavaScriptコード同様、極めて低い。
一方、最終的に実行されるEXEファイルの検出率は高く、24日時点の検体に対し、同日のチェックで20のソフトが、25日には23のソフトがこれを検出した。固有名の付いた代表的な検出名は「Daonol」「Kates」など。ちなみにこれらは、かつてのGumblarの攻撃で実行させていたEXEファイルに対して付けられていたウイルス名でもある。
(2009/10/26 ネットセキュリティニュース)
・Win32/Daonol(マイクロソフト)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol
・Trojan:Win32/Daonol.H (マイクロソフト)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fDaonol.H
・TROJ_DELF.WQD(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DELF.WQD・Lando(マカフィー)
http://www.mcafee.com/japan/security/virL.asp?v=Lando