望まれない報告が飛び込んできました。
懸念されていたPDFファイルアタック「EXPL_PIDIEF.C」(オフィシャルパターンファイル 4.799.00にて、検出対応済み)の日本上陸が確認されました。
これまで、PDFファイルアタックについては、Trend Micro Security Blogにおいて以下の通り、注意喚起を行っています。
- 2007-10-17 Trend Micro Security Blog「Adobe Acrobat / Reader 8.1における実行ファイルの自動実行の危険性」を投稿
- 2007-10-25 Trend Micro Security Blog「PDFファイルアタックとRussian Business Network」を投稿
今回日本国内にて確認された「EXPL_PIDIEF.C」の攻撃手法は「EXPL_PIDIEF.B」と同様です。
Adobe Acrobat / Reader 8.1の脆弱性(CVE-2007-5020)の悪用を確認しています。
しかし、拡散媒体であるメールの件名や添付ファイル名が変更されています。
また、悪意あるPDFファイルを開くことにより接続される宛先も変更していることを確認しています。
 |
| 日本国内にて確認されたメールも英語の件名、本文です。日本語での拡散事例は現時点(2007年10月27日 7:00現在)では確認されていません。 |
現在、PDFファイルアタックにて確認されているメール件名は次の通りです。
- Balance Report
- Credit report
- Personal Balance Report
- Personal Credit report
- Personal Financial Statement
- tax statement
- Your Credit points
- Your Credit report
- Your Credit File
添付ファイル名は次の通りです。
- debt.< 年>.< 月>.< 日>.< 時間>.pdf
- overdraft.< 年>.< 月>.< 日>.< 時間>.pdf
- report.pdf
- report.< 年>.< 月>.< 日>.< 時間>.pdf
* < 年>、< 月>、< 日>、< 時間>の部分は以下のように送信日時と思われる半角数字が入力されています。
例:overdraft.2007.10.26.*******.pdf
|
| Windows Firewallのサービスを停止した後に、FTP経由で「ms32.exe」 (TROJ_HARNIG.CU)のダウンロードが行われています。 モザイクされている箇所には、FTPサーバのIPアドレスが記載されています。 |
今後、同様の手法を悪用した別のウイルスが出現する可能性も考えられます。管理者は土日明け以降も以下の点を注意喚起していくことが、本攻撃に対する予防策として有効です。
- 出所不明のメールを開かない。
- 不審なPDFファイルを開かない。
- ウイルス対策ソフトを最新の状態にする。
- アドビ システムズ社が提供する修正プログラム(* 注釈1)の適用を推進する。
リージョナルトレンドラボでは、引き続き「EXPL_PIDIEF」ファミリの動向について分析を行っていきます。
注釈1. アドビ システムズ社が公開する修正プログラムのダウンロードページ