トレンドマイクロは2007年8月28日、米グーグルの検索サイトに見せかけた悪質サイトが確認されたとして注意を呼びかけた。ウイルスをアドオンソフトに見せかけてダウンロードさせようとする。ぜい弱性のあるパソコンでは、そのサイトにアクセスしただけでウイルスに感染する可能性もある。
悪質サイトは、英語のGoogleページに見せかけている(図1)。ページには、「ここをクリックして必要なアドオンをダウンロードしてください」といった内容の英文とリンクが記載されている。リンクをクリックすると、悪質サイトに置かれた「zun.exe」という実行形式ファイルがダウンロードされそうになる。これがウイルスの実体である。
このファイルをダウンロードして実行すると感染。そのパソコンに「バックドア」を開いて、攻撃者が自由にアクセスできるようにする。さらに、そのパソコンに「Yahoo!メッセンジャー」がインストールされている場合には、悪質サイトへのリンクなどを記載したメッセージをほかのユーザーに送信し、感染を広げようとする。
加えて、hostsファイルを改変し、Googleのサイトへアクセスしようとすると、悪質サイトへジャンプ(リダイレクト)するように設定変更する(図2)。
また、この悪質サイトのWebページには、Windows関連のぜい弱性「Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)」を悪用するJavaScriptが仕込まれている。このため、このぜい弱性が存在するパソコンでは、このページにアクセスするだけで、前述の「zun.exe」に加え、「home.exe」や「zin.exe」といったファイル名の別のウイルスをインストールされる恐れがある。
なお、このぜい弱性の修正パッチ(セキュリティ更新プログラム)は2006年4月に公開されているので、Windowsの自動更新機能を有効にしているパソコンや、Microsoft Update(Windows Update)を実施しているパソコンでは解消されている。
トレンドマイクロでは、Googleをかたる偽サイトは今までに何度も出現しており、今後も次々出現することが予想されるとして注意を呼びかけている。
