| ジャストシステムは、2011年6月16日、日本語ワープロソフト「一太郎」の未修正の脆弱性「JS11001」に対応するアップデートモジュールを公開しました。リージョナルトレンドラボでは、この脆弱性を悪用しバックドアに感染させる事例を確認しています。明確に日本をターゲットとした不正プログラムであるため、注意が必要です。 |
この脆弱性を悪用する不正プログラムを、トレンドマイクロ製品では「TROJ_TARODROP.KO」として検出します。「TROJ_TARODROP.KO」に感染したパソコンには、「BKDR_AGENT.MSC」がインストールされます。
「BKDR_AGENT.MSC」は、ユーザのキー入力を監視・記録するキーロガーなどの機能を備えています。
一太郎の脆弱性を狙った過去の攻撃は、メールに不正プログラムを添付し、特定の組織・特定の人物に送りつけるような標的型攻撃に利用されています。このことから、今回の「TROJ_TARODROP.KO」についても、メールを介した侵入に特に警戒が必要です。
- 「一太郎」の新たなゼロデイ攻撃確認 情報収集が目的か?
/archives/3736 - 一太郎のゼロデイ脆弱性、再び狙われる!
/archives/3546 - 人気日本語ワーブロソフトのゼロデイ脆弱性が標的型攻撃の対象に!
/archives/3455
■感染の流れ
- 脆弱性のあるパソコンで「TROJ_TARODROP.KO」のファイルを開くと、”%temp%\scvhost.exe(「BKDR_AGENT.JGE」として検出)” が作成されます。このとき、ユーザには無害なファイルが開いたように見せかけます。
- 作成された “scvhost.exe” は別の不正プログラム “KB0107e6f5.dll(「BKDR_AGENT.MSC」として検出)” を作成・実行し、その後削除されます。
- “KB0107e6f5.dll” は、自身が OS 起動時に実行されるようレジストリを作成します。
■対策
ジャストシステムは、2011年6月16日、同社 Webサイトにおいて、今回の脆弱性に対応するためのアップデートモジュールを公開しました。
| ベンダ発表(発表日:2011/06/16) | 脆弱性情報 | ||||
| 会社名 | 識別番号 | 情報のタイトル | CVE | JVN | JVNDB |
| ジャストシステム | JS11001 | 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について | N/A | N/A | N/A |
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」のファイルレピュテーション技術により、「TROJ_TARODROP.KO」「BKDR_AGENT.JGE」「BKDR_AGENT.MSC」を検出および削除し、これらの脅威から守られます。
調査協力:吉川 孝志(リージョナルトレンドラボ)
【更新情報】
| 2011/06/21 | 17:30 | 今回の事例に関する「TROJ_TARODROP.KO」および「BKDR_AGENT.JGE」、「BKDR_AGENT.MSC」のウイルス情報が公開されました。 |