セキュリティ・ベンダーのロシアKaspersky Labは現地時間11月7日,新たなトロイの木馬(悪質なプログラム)が出回っているとして注意を呼びかけた。メールの添付ファイルとして送られてくるこのトロイの木馬を実行すると,別のトロイの木馬がダウンロードおよび実行される。このとき,Windowsの「svchost.exe」を悪用することで,パーソナル・ファイアウオールに検出されないようにするという。
svchost.exeはWindowsのシステム・ファイルの一つ。ネットワーク関連のサービスが起動される際の親プロセス(ホスト・プロセス)になる(マイクロソフトのサポート技術情報)。Windowsが起動されると,基本的なネットワーク・サービスはsvchost.exeを経由して起動される。このため通常の環境では,svchost.exeのプロセスが稼働していることは当然であり,パーソナル・ファイアウオールの多くは,svchost.exeによるネットワーク・アクセスをデフォルトで許可している。
今回確認されたトロイの木馬「Trojan-Downloader.Win32.Delf.awg」はこのsvchost.exeを悪用することで,自分自身のネットワーク活動を隠す。正規のネットワーク・サービスと同じようにsvchost.exeを経由して自分自身を起動し,別のトロイの木馬をダウンロードする。このため,プロセス名などでアクセス・コントロールを実施しているパーソナル・ファイアウオールではブロックできないという。
「Delf.awg」がダウンロードおよび実行するトロイの木馬は複数。具体的には,メールで感染を広げるウイルス(ワーム)やスパムなどを中継するプロキシ・プログラム,パスワードを盗むプログラム(パスワード・スチーラ)などがダウンロードされるという。
