最近、リッチテキスト形式(RTF)ファイル内に不正プログラムファイルを埋め込みオブジェクトとして貼り付けた形で頒布するケースが続けて起こっています。最初のケースは23日に確認された「TROJ_ARTIEF.A」です。この不正プログラムは「Document_for_Case.doc」というファイルに貼り付ける形で頒布されました。続けて、29日に「TROJ_ARTIEF.B」、30日に「TSPY_MAHA.S」がRTFファイル内に埋め込まれた形で頒布されました。
埋め込みオブジェクトの具体的なイメージとしては以下のように文書内にアイコンとして表示されます。もちろんユーザがこれをクリックして実行しなければ活動を開始することはありません。なのでどちらもユーザにアイコンをクリックすることを促す文がついています:
「TROJ_ARTIEF.B」のサンプル
「TSPY_MAHA.S」のサンプル
この3つの不正プログラムはどれもユーザを騙す内容のメール内容で頒布されている点も共通しています。「TROJ_ARTIEF.A」は米国の消費者センターにあたる「Better Business Bureau」を、「TSPY_MAHA.S」は米国国税局からのメールを偽装してユーザにファイルを開かそうとしています:
「TROJ_ARTIEF.A」のメールサンプル
「TSPY_MAHA.S」のメールサンプル
ちなみにこれに関連して、いくつかのアンチウイルス製品ではRTFの埋め込みオブジェクトをウイルス検索していない、という報道もありました。トレンドマイクロ製品はちゃんと検索していますのでご心配なく。