セキュリティ組織の米SANS Instituteは現地時間11月19日,無償の動画再生プレーヤ・ソフトに見せかけた悪質なプログラム(トロイの木馬)が報告されたことを明らかにした。このトロイの木馬をインストールすると,広告サイトなどに勝手に誘導されてしまう。検出を難しくする仕組みもいくつか備えているという。
今回報告されたトロイの木馬は,検索結果のページに特定の広告サイトのリンクを表示させて,そのサイトへ誘導しようとする。また,DNSに登録されていないドメイン(URL)をWebブラウザに入力した場合にも,その広告サイトへリダイレクトさせるという。
ただし,これらは現時点での挙動に過ぎず,今後,より悪質な挙動をするように改変される可能性があるとして,トロイの木馬の報告者は警告している。具体的には,フィッシング詐欺に悪用される恐れがあるという。例えば,銀行やオークション・サイトなどのURLをWebブラウザに入力すると,それらの偽サイトへリダイレクトするように改変される可能性がある。
このプレーヤ・ソフトには,ウイルス対策ソフトに検出されないような“工夫”も凝らされている。まず,自分の姿を隠す「ルートキット」の機能を備える。さらに,ソフトごとにプログラムの一部を改変して配布することもできるという。挙動は全く同じでも,ダウンロードされるソフトそれぞれのコードを部分的に改変することで,対策ソフトに検出されないようにする。
いくつかのウイルス対策ソフトでは,このプレーヤ・ソフトを「Zlob」や「Emcodec」として検出するが,検出しない対策ソフトもあるという。
このプレーヤ・ソフトは,「Inhoster」というホスティング業者のサーバーで配布されている。このホスティング・サービスは悪質なプログラムの配布に使われることが多い。このためSANS Instituteでは2006年1月に,企業や組織のおいては,このホスティング・サービスで使われているIPアドレス(85.255.112.0/20)へのアクセスをブロックすることを勧めている。
