2003年10月3日(金曜日)
QHosts登場
来てます、来てます。
ユーザがExploit-ObjectDataコードを含むWebサイトへ接続されます。これにより、HTMLファイル(x.hta)に含まれているVBScriptが自動実行します。
Exploit-ObjectDataコードというのは例の MS03-032 の話ですね。MS03-032が直っていない話参照。いちおうパッチがあるのですが、パッチを当てても防げないパターンが確認されており、全然安全ではないという……。
確実に対処するには ActiveX を無効にするか、application/hta の MIME TYPE を削除するしかありません。
問題はこの木馬がパッチを当ててあっても貫通するタイプなのかどうかという点ですが、トレンドマイクロの情報では、パッチが当たっていれば大丈夫な口ぶり。
これはInternet Explorerのセキュリティホール(MS03-032)を利用して不正活動を行います。このウイルスが利用するセキュリティホールに関しましてはこちらのマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
以上、TROJ_QHOSTS.A - 概 要 より
まあいずれにしても、パッチを貫通するパターンで動作させる事も可能なわけで。知らないサイトでうっかり ActiveX を有効にしたりしないように気をつけないと……。
……などと書いていたら、しっかり貫通パターンであるという報道が。
このトロイの木馬は、現時点ではまだパッチが提供されていないIEのObject Dataタグのセキュリティホールを悪用する。既に報告されているAIMのハイジャックやポルノダイヤラー攻撃(9月29日の記事参照)同様、たとえマイクロソフトが提供する最新のパッチを適用していたとしても、被害を免れ得ない。
以上、ZDNetのDNSに影響、パッチ未発行の脆弱性を悪用するトロイの木馬「QHosts」 より
……やれやれ。知らないサイトの Flash なんかは当分見られないかも。
- 「QHosts登場」へのコメント (2件)
しつこいなあ QUIT しろ
掲示板 spam 対抗ルーチンはうまく機能していて、3件をガード。
しかしその 219.31.144.22 からの投稿はあまりにもしつこくて
219.31.144.22 は何故か JPNIC の Whois データベースに無いようなのですが、逆引きすると YahooBB219031144022.bbtec.net なので Yahoo! BB でしょう。hostmaster@bbtec.net は存在しているようですから、abuse@bbtec.net もあるんじゃないかしら……。
※えむけいさんから情報をいただきました。Yahoo! BB は APNIC から直接 IP アドレスを割り当てられているので、JPNIC の Whois には載っていないそうです。情報ありがとうございます。
- 前(古い): 2003年10月1日(Wednesday)のえび日記
- 次(新しい): 2003年10月4日(Saturday)のえび日記
