JPEG処理(GDI+)のぜい弱性(マイクロソフトのサイト)を狙ったウイルスが登場した。Easynewsによれば,JPEGのぜい弱性を突く画像ファイルは,最初にアダルト画像を含んでいるいくつかのUsenetニュース・グループに現われた,という。なお,システムが感染したかどうかは,「c:¥windows¥system32¥system¥」が「nvsvc.exe」または「winrun.exe」を含んでいるかどうかを確認すればよい。
過去2週間にわたって,様々な人々が,ぜい弱性を突くコードを証拠としてリリースしてきた。最初のコードは,アプリケーションのクラッシュを引き起こす不正なJPEGの画像ファイルだった。第2のコードは,リモート・アクセスをせずにローカルのコマンド・シェルを大量に作るJPEGの画像ファイルだった。第2のコードが出てから数時間後で,今度は別の者がリモート・アクセスのポートにコマンド・シェルを結び付けたという。
今,シェル・コードが動いているシステムで,バッファ・オーバーランを引き起こすJPEGファイルを開くと,大きな問題が発生する。
シェル・コードはFTPサイトへ接続し,2Mバイトのデータのダウンロードしたあと,トロイの木馬をインストールする。これによりコンソールの前で座っているかのようにシステムを遠隔操作できるradmin.comもインストールする。トロイの木馬にはfport,netcat,peek,rcryptなどのツールも含まれている。
ウイルスは,さらにポート10002を開くかもしない。Easynewsは,JPEGがWindows XPシステムに感染したときのパケットをキャプチャした,としている(該当サイト)。
これは恐らくJPEG処理(GDI+)のぜい弱性を悪用する手法の始まりに過ぎない。さらに詳しい情報は,私たちのセキュリティ問題のブログ(該当サイト)と,関連ニュース「古いバージョンのgdiplus.dllを探し出すツールが公開される」(既報)に掲載している。
【IT Pro-Windows Reviewメール】を好評配信中。申し込みはこちら
