米シマンテックは2007年8月2日(米国時間)、ジャストシステムのワープロソフト「一太郎シリーズ」のぜい弱性を悪用する新たなウイルスが出現したとして注意を呼びかけた。
ウイルスの実体は一太郎の文書ファイル(拡張子はjtd)。この文書ファイルには、一太郎のぜい弱性を悪用する仕掛けが施されている。このため、このファイルを一太郎で開く(読み込む)だけで、ファイル中のウイルスプログラムが動き出し、ユーザーのキー入力情報などを盗む別のウイルス(キーロガー)が生成およびインストールされる。
今回のウイルスが悪用するぜい弱性は新しいもので、対策(修正プログラムやアップデートモジュールなど)は未公表。修正プログラムなどをきちんと適用しているユーザーでも被害に遭う危険性がある。今回のように、対策が未公表のぜい弱性を悪用するウイルスは、「ゼロデイウイルス」と呼ばれる。
一太郎を狙うゼロデイウイルスは、今回が初めてではない。最初のゼロデイウイルスが確認されたのは2006年8月。その後、2006年9月および2007年4月にも新たなゼロデイウイルスがそれぞれ出現し、今回が4件目。シマンテックでは今回のウイルスを「Trojan.Tarodrop.D」と名付けている。
今回のウイルスが生成するキーロガーは、エクスプローラ(explorer.exe)のプロセスの一部として動作する。このためタスク マネージャなどから見つけ出すことはほとんど不可能。加えて、ウイルスはレジストリを改変して、パソコンが起動されるたびにキーロガーが起動されるように設定変更する。
さらに今回のウイルスは、自分の痕跡を消すために、ウイルスファイルを開いた一太郎を終了させる。そしてすぐに一太郎を再起動し、ウイルスが生成した何も書かれていない文書ファイルを読み込まされる。
この偽装の手口は、文書ファイルを使ったウイルスの常とう手段。これにより、ウイルスを開いたことに気付かせないようにする。ただしこの手口では、表示されている文書ファイルが変わるため、パソコンの画面がちらつくという。このためシマンテックでは、このちらつきに注意していれば、ウイルス感染に気が付くことができるとしている。
 |
|
