2012年8月末、Oracle Java 7の “Java Runtime Environment (JRE)7 Update 6 ビルド1.7x” に存在する未修正の脆弱性「CVE-2012-4681(JVNTA12-240A)」が、特定のサイトに組み込まれた不正なJARファイルにより利用されたことが確認されました。問題の不正なJARファイルによってこの脆弱性が利用されると、最終的にバックドア型不正プログラムのダウンロードに誘導されることとなります。これにより、実質上、不正リモートユーザが目的とするコマンドをこの脆弱性の被害を受けたコンピュータ上で実行することが可能になります。
このゼロデイのエクスプロイトコードは、Internet Explorer(IE)や Firefox、Opera のすべてのバージョン上で実行されます。また、Metasploitの検証によると、Google Chrome および Safari 上でも実行されると報告されています。
続きを読む「TrendLabs(トレンドラボ)」では、2012年7月下旬、ファイル “services.exe” が未確認の不正プログラムによってパッチされたという報告を弊社製品をご利用のお客様より受けました。パッチされた “services.exe” は、トレンドマイクロの製品では、32bit 版搭載のコンピュータの場合「PTCH_ZACCESS」、64bit 版の場合「PTCH64_ZACCESS」として検出され「ZACCESS」というファミリのコンポーネントであることが確認されています。「ZACCESS(または ZEROACCESS)」は、パッチしたこのシステムファイルを利用して、コンピュータの再起動中に他の不正なコンポーネントを実行します。こうした点から、この更新されたファイルも、「ZACCESS」ファミリの亜種と見なされます。この亜種は、ユーザに気付かれないように自身の不正なコードを読み込むのに際して通常のルートキット機能ではなく、「user-mode (ユーザモード)」を悪用した「バイナリプランティング」という手法を用いる点で新しいと言えます。
続きを読む
