セキュリティ組織の米SANS Instituteやセキュリティ・ベンダーのフィンランドF-Secureなどは現地時間6月27日,Microsoft Wordの古いセキュリティ・ホールを突いて悪質なプログラムをインストールしようとするWord文書ファイル(DOCファイル)が出回っているとして注意を呼びかけた。同ファイルを添付したメールが多数送信されていることを確認しているという。
出回っているDOCファイルは,2001年7月に公表された「不正なWord文書が自動的にマクロを実行する (MS01-034)」のセキュリティ・ホールを悪用するもの。DOCファイルの名前は「my_Notebook.doc」。このDOCファイルはZIP形式のアーカイブ・ファイルとしてメールに添付されて送られてくる。
ユーザーがZIPファイルを展開してこのDOCファイルを開くと,中に仕込まれたマクロが勝手に動き出す。そして,実行形式ファイル「666inse_1.exe」をCドライブのルート・フォルダ(C:\)に生成して実行する。この実行形式ファイルは,特定のサイトから指定のプログラムを勝手にダウンロードして実行する悪質なプログラム(ウイルス)である。このようなウイルスは,「ダウンローダ(dwonloader)」と呼ばれる。
ただし,影響を受けるのは「MS01-034」のパッチを適用していないWord 2002以前(Word 2002を含む)に限られる。それよりも新しいバージョンを使っている場合,あるいはパッチを適用している場合には,マクロのセキュリティ設定を「低」にしていない限り(最近のWordのデフォルトは「高」),DOCファイルを開くだけで被害に遭うことはない。なお,マクロのセキュリティ設定は,「オプション」メニューの「セキュリティ」タブから,「マクロのセキュリティ」をクリックすれば確認できる。
SANS Instituteによれば,上記以外のウイルス(ダウンローダ)を添付したメールも,ここ数時間で多数確認しているという。例えば,本文に「素敵な写真を添付したので見てほしい」と書かれたウイルス・メールを確認しているという。添付ファイルの実体は実行形式のダウンローダだが,ファイル名を「DC0019.JPG__(多数の_)__JPG.exe)として,JPG画像ファイルに見せかける。ファイル名の中に多数のスペースや「_」を入れて,ウイルス・ファイルを画像や動画に見せかけるのはウイルス・メールの常套手段。だまされないように注意したい。
◎参考資料
◆Word macro trojan dropper and (another) downloader(米SANS Institute)
◆Kukudro.A - Macro trojan dropper spammed(フィンランドF-Secure)
