米SANS Instituteは現地時間12月10月,バルーン・メッセージを表示してユーザーに悪質なプログラムをダウンロードさせようとするウイルス(トロイの木馬)「Trojan.Spaxe」を警告した。ダウンロードを促すメッセージをWindowsの自動更新機能アイコンが表示したバルーンに見せかけることが“ポイント”。
米SymantecではTrojan.Spaxeを12月6日に発見した(日本語情報)。同社の情報によると,Trojan.Spaxeを実行すると,その実体であるsvchosts.dllをシステム・フォルダにコピーする。併せてレジストリを改変して,パソコンを起動するたびにsvchosts.dllが実行されるようにする。
svchosts.dllはシステム・トレイの自動更新機能アイコンをポイントするバルーン・メッセージを継続的に表示する。メッセージの内容は以下のとおり。パソコンがスパイウエアに感染しているので,最新のスパイウエア対策ソフトをダウンロードしてインストールするよう勧める。
Your computer is infected!
Windows has detected spyware infection.
It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware.
このメッセージを信用してバルーンをクリックすると,特定のサイトに置かれた悪質なプログラム(例えばスパイウエア)が勝手にダウンロードされる。
Trojan.Spaxeは感染を広げておらず,Symantecが設定する危険度は最低の「1」。加えてメッセージは英語なので,国内ユーザーがだまされる可能性は低い。また,ウイルス対策ソフトを適切に利用していれば,Trojan.Spaxeを実行した時点で検出・駆除される。とはいえ,こういった手口が存在することは知っておいたほうがよいだろう。
◎参考資料
◆Malware(米SANS Institute)
◆Trojan.Spaxe(米Symantec)
◆Trojan.Spaxe(シマンテック)
