Trojan.PPDropper.Bが表示するスライド(<a href="http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-071212-4413-99&tabid=2" target=_blank>米Symantecの情報</a>から引用)
Trojan.PPDropper.Bが表示するスライド(<a href="http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-071212-4413-99&tabid=2" target=_blank>米Symantecの情報</a>から引用)
[画像のクリックで拡大表示]

 米SANS Instituteは現地時間7月14日,Microsoft PowerPointにパッチ未公開のセキュリティ・ホールが見つかったことを明らかにした。細工が施された文書ファイル(.ppt)を開くだけで,ファイルに仕込まれた悪質なプログラムを実行させられる恐れがある。米Symantecでは,このセキュリティ・ホールを突くプログラム(pptファイル)を確認している。

 フランスFrSIRTの情報によると,今回のセキュリティ・ホールはPowerPointに含まれるライブラリ「mso.dll」に存在するという。細工が施されたファイルを処理しようとするとメモリー破壊が発生し,ファイルに含まれた任意のプログラムが実行される可能性がある。

 Symantecでは,今回のセキュリティ・ホールを突くプログラムを「Trojan.PPDropper.B」と命名。脅威レベル(Risk Level)は「Very Low(とても低い)」に設定されているので,ほとんど出回っていないものと考えられる。

 PPDropper.Bは,pptファイルとしてメールに添付されて送られてくる。ユーザーがこのファイルを開くとPPDropper.Bが勝手に動き出す。そして,別のウイルス「Backdoor.Bifrose.E」を生成して実行する。Bifrose.Eは,攻撃者がそのパソコンにアクセスできるようにするバックドア・プログラム。ユーザーのキー入力を盗むキーロガーの機能も持つ。盗んだ情報は特定のWebサイトへ送信する。

 Bifrose.Eの実行後は,PPDropper.Bが含まれないpptファイルで上書きして痕跡を消す。さらに,中国語の文章が書かれたpptのスライドを表示する(写真)。

 PPDropper.Bは,マイクロソフトが7月のセキュリティ情報を公表した直後にリリースされた模様(関連記事:WindowsやOfficeに危険なセキュリティ・ホール)。PPDropper.Bが悪用するセキュリティ・ホールを修正するパッチが公表されなかったことを確認した上でリリースされたものと考えられる。

米SANS Instituteの情報
フランスFrSIRTの情報
米Symantecの情報