特定のシステムを狙った限定的な攻撃で発覚した、Windowsのショートカットの脆弱性。ユーザーへの周知が進む一方で、これを悪用した攻撃が本格的な広がりを見せ始めている。不特定多数のユーザーを狙う攻撃者たちが、ウイルスの感染手段にこの脆弱性を悪用しはじめたのだ。
■ZeuS/ZbotやSalityがショートカットの脆弱性を悪用
セキュリティベンダー各社によると、これまでに「Vobfus」「Chymine」「ZeuS/Zbot」「Sality」系のウイルスで、この脆弱性を悪用した攻撃が確認されているという。
先週ばら撒かれたZeuS/Zbot系のウイルスメールの場合には、マイクロソフトを装い、「Microsoft Windows Security Advisory」という件名で送られて来る。メールの本文(エフセキュアとトレンドマイクロのブログで確認できる)では、古いバグを悪用した新たな攻撃が行われているので、新しいパッチを提供すると言ってユーザーをだまし、メールに記載したパスワードを使って、添付したZIPファイルを解凍させようとする。
ZeuS/Zbot系のウイルスを添付した従来のウイルスメールでは、ZIPの中にはEXEファイルが入っており、このEXEファイルをユーザー自身に実行させようとするものだった。今回添付されたZIPファイルの中には、ウイルス本体のDLLファイルと、ショートカットの脆弱性を悪用する細工したLNKファイルが入っており、メールは、これをCドライブのルートフォルダにインストールするよう指示している。ユーザーが指示通りの場所に解凍してしまうと、細工したショートカットのアイコンを表示した際に、このウイルス本体が自動実行されてしまう。
悪用し始めということもあってか、あまり効果が期待できそうにない手法ではあるが、今後、より洗練された攻撃が出て来るかも知れないので注意は怠らないでいただきたい。このようなパッチを添付したメールは、マイクロソフトから送られてくるようなことはない。
(2010/07/28 ネットセキュリティニュース)
【関連URL】
・LNK脆弱性:Chymine、Vobfus、SalityおよびZeus(エフセキュアブログ)
http://blog.f-secure.jp/archives/50429825.html
・ZeuS-ZBOT and SALITY Jump on the LNK Exploit Bandwagon[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/zeuszbot-and-sality-jump-on-the-lnk-exploit-bandwagon/
・Protection for New Malware Families Using .LNK Vulnerability[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/b/mmpc/archive/2010/07/23/protection-for-new-malware-families-using-lnk-vulnerability.aspx
【参考記事:ネットセキュリティニュース】
・マイクロソフト、ショートカットのゼロデイ攻撃を回避する「Fix It」公開(2010/07/22)
・【ゼロデイ攻撃】Windowsの脆弱性狙うトロイの木馬~MSがアドバイザリ公開(2010/07/20)