最近確認されたインスタントメッセンジャーワームの例を紹介します。
このワームはソーシャルエンジニアリングの手法によってニセモノのGoogleサイトを利用します。
「ここをクリックして必要なアドオンをダウンロードしてください」という指示に従ってダウンロードすると、「zun.exe」という怪しいファイルがダウンロードされます。
偽Googleサイトのソースコードを見てみると、以下の3つのスクリプトが確認できます。
難読化を解除して読みやすくした結果は以下の通り。
「home.exe」と「zun.exe」は「WORM_SOHANAT.CO」として対応済みです。また、「zin.exe」は「WORM_VB.EIQ」として対応済みです。
これらのワームを実行してしまうと、「hosts」ファイルが以下のように改変されます。
この状態で各国のGoogleサイトにアクセスしようとすると、不正サイトにリダイレクトされてしまいます。
Googleの偽サイトは今までに何度も登場しています。恐らく今後も次々と登場することが予想されます。くれぐれもニセモノには気を付けてください。
