検索:
ホーム   »   感染媒体   »   メール   »   Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS)

Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS)

  • 投稿日:2009年2月18日
  • 脅威カテゴリ:メール, スパムメール, 脆弱性, 速報, Webからの脅威, 新種ウイルス, 攻撃手法, 感染媒体
  • 執筆:Forward-looking Threat Research 林 憲明
0

 リージョナルトレンドラボでは、Windows Internet Explorer 7に存在する初期化されていないメモリの破損の脆弱性(セキュリティホール:MS09-002/CVE-2009-0075)を衝く不正プログラムが流通していることを確認しました。既に日本国内のお客様からも検体提供いただいております。トレンドマイクロではこの不正プログラムを「HTML_DLOADER.AS」としてウイルスパターンファイル 5.834.01(2009年2月12日公開)から検出対応しています。

攻撃タイプ ベンダ発表(発表日:2009/2/11) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 マイクロソフト株式会社 961260 MS09-002[緊急]:Internet Explorer 用の累積的なセキュリティ更新プログラム CVE-2009-0075 N/A
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2009/2/17時点)
ウイルスパターンファイル 5.834.01 HTML_DLOADER.AS
Exploit-XMLhttpd.d(McAfee)
Exploit:JS/Mult.BF(Microsoft)
Mal/JSShell-B(Sophos)
JS.Downloader(Symantec)

 今回の攻撃は日本国内の一部組織団体より被害報告を受けているものであり、現時点で広域に広がっている事例ではありません。よって標的型(ターゲット)攻撃に分類される脅威レベルと言えます。トレンドマイクロでは、既知の脆弱性を悪用した攻撃であり、他の攻撃事例への転用が比較的容易であることを留意し、広く一般に情報を公開いたします。

 悪用されている脆弱性(MS09-002/CVE-2009-0075)は2009年2月の月例更新でセキュリティ更新プログラムが発表された新しい脅威です。Microsoft社の発表する「Exploitability Index (悪用可能性指標)」によれば「1 – 安定した悪用コードの可能性」とその危険性は当初から指摘されています。しかしながら、組織においては広範囲の事前検証を必要とブラウザに対する修正となるため、いまだ適用に至っていないコンピュータも数多く存在すると推測されます。

 なお、Microsoft社はMS09-002が影響を及ぼすのはWindows Internet Explorer 7のみであり、他のサポートバージョンであるMicrosoft Internet Explorer 5およびMicrosoft Internet Explorer 6には影響を及ぼさないと発表しています。このため、対策を必要とする製品の利用に至っていないコンピュータも多いと推測されます。

 次の画像は「HTML_DLOADER.AS」コードの抜粋です。スクリプト型ウイルスに多くみられるJavaScrip標準APIを用いた難読化が行われていることが確認できます。攻撃者は難読化を行うことで、セキュリティ対策製品のジェネリック検出機能による検出の回避を狙っていると推測されます。

図1 「HTML_DLOADER.AS」コードの抜粋)
図1 「HTML_DLOADER.AS」コードの抜粋

 攻撃に対して脆弱なコンピュータである場合、バックドア型ウイルス「BKDR_AGENT.XZMS」であるDLLファイルがインストールされます。バックドアはポート443(HTTPS)通信により情報漏洩活動が行われます。

 近年の傾向を振り返ると、安定利用可能な受動型の脆弱性は、不正プログラムを強制的にインストールさせる攻撃ツールに、新機能として実装が行われているケースが数多く報告されています。また、こうした攻撃ツールの一部には正規のウェブサイトを改ざんし、不正なコードを埋め込む機能を実装するものも流通しています。

 こうした攻撃者の思惑を断ち切り、安全な環境を手に入れるためにも、セキュリティ更新プログラムの早期適用の検討を行うことを推奨します。

 

【訂正と追記】

2009/02/19 00:42 McAfee、Microsoft、Symantecの検出別名を追加いたしました。

Related posts:

  1. アメリカ合衆国独立記念日にちなんだ文面でウイルス感染サイトへ誘導するスパムメール
  2. Microsoft Excelの新しい脆弱性(CVE-2009-0238)を悪用する「TROJ_MDROPPER.XR」の脅威
  3. ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威
  4. 2008年度初観測となる「一太郎」の脆弱性を突いた攻撃


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.