偽のGoogle／MSN／Yahoo!に誘導するマルウエアを警告，スペインPanda Software

ITPro

2005.10.03

　スペインのPanda Softwareが，ユーザーをMSNやYahoo!，Googleといった検索サイトの偽サイトに誘導する悪質なアドウエア「PremiumSearch」について，米国時間9月30日に警告を発した。Panda Software社は「先週検出された，Googleの検索結果のスポンサー付きリンクを改ざんするワームと動作がよく似ている」と説明する。

　PremiumSearchは，「ByteVerify」「LoadImage」「Mhtredir」といったスパイウエアがよく使うWindowsのぜい弱性を悪用し，攻撃目標のパソコンに悪質なブラウザ・ヘルパー・オブジェクト（BHO）を仕込む。さらに偽の「Google Toolbar」をインストールし，HOSTSファイルを書き換える。

　BHOはWebブラウザのホームページ設定を変更し，ユーザーをPremiumSearch検索エンジンに誘導する。BHOの動作とHOSTSファイルの書き換えにより，MSN，Yahoo!，Googleへのアクセス要求で偽サイトに接続し，加工した検索結果を表示する。Google Toolbarから検索しても同じ動作を行う。

　偽サイトは各国向けが用意してあり，60カ国以上のバージョンがあるという。同社は「米国でホスティングされている」とみる。

　PremiumSearchの感染は，海賊版ソフトウエアを配布するワレズ・サイトやポルノ・サイトを経由して始まる。こうしたサイトでは，PremiumSearchのほかにも「WorldAntiSpy」や「Smitfraud」といったマルウエアに感染するおそれがある。「ユーザーに対し，マルウエア除去が有料であると思わせようとしている」（同社）