zCodecが置かれているWebサイトの一例
[画像のクリックで拡大表示]
米Websenseは現地時間9月8日,ビデオ・コーデック(CODEC)に見せかけたスパイウエア(悪質なプログラム)が米メディアなどで話題になっているとして注意を呼びかけた。
Websenseが注意を呼びかけているのは「zCodec」というプログラム。同社では2006年5月に確認しているものの,先週末から複数のメディアなどで取り上げられているので,改めて注意を呼びかけたという。
zCodecは100kバイト程度の実行形式プログラム。インストールすると,再生した動画(映画)の画質が40%向上するとうたう。しかし,実際にはスパイウエア(悪質なプログラム)の一種。インストール(実行)されるとパソコンの設定を変更し,デフォルトのDNSサーバーを攻撃者のサーバーに変更する。これにより攻撃者は,そのパソコンのユーザーのWebアクセスを,任意のサイトへリダイレクトできる。加えて,そのユーザーがどのWebサイトへアクセスしたのかを知ることができる。
また,zCodecはルートキットのテクニックを用いて姿を隠すので,一度インストールしてしまうと容易には探し出せないという。
さらに,インターネット上のサイトから別の悪質なプログラムをダウンロードして実行する。まず最初にzCodecは,あるWebサイトへアクセスする。このサイトのURLはzCodecのプログラムに記述(ハードコーディング)されている模様。そのサイトから暗号化されたリストを入手して復号する。そして,そのリストに書かれたURLからプログラムをダウンロードして実行する。リストを更新することで攻撃者は,zCodecにダウンロード/実行させるプログラムを随時変更できるという。
