QHosts登場

来てます、来てます。

ユーザがExploit-ObjectDataコードを含むWebサイトへ接続されます。これにより、HTMLファイル（x.hta）に含まれているVBScriptが自動実行します。

Exploit-ObjectDataコードというのは例の MS03-032 の話ですね。MS03-032が直っていない話参照。いちおうパッチがあるのですが、パッチを当てても防げないパターンが確認されており、全然安全ではないという……。

確実に対処するには ActiveX を無効にするか、application/hta の MIME TYPE を削除するしかありません。

問題はこの木馬がパッチを当ててあっても貫通するタイプなのかどうかという点ですが、トレンドマイクロの情報では、パッチが当たっていれば大丈夫な口ぶり。

これはInternet Explorerのセキュリティホール(MS03-032)を利用して不正活動を行います｡このウイルスが利用するセキュリティホールに関しましてはこちらのマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。

まあいずれにしても、パッチを貫通するパターンで動作させる事も可能なわけで。知らないサイトでうっかり ActiveX を有効にしたりしないように気をつけないと……。

……などと書いていたら、しっかり貫通パターンであるという報道が。

このトロイの木馬は、現時点ではまだパッチが提供されていないIEのObject Dataタグのセキュリティホールを悪用する。既に報告されているAIMのハイジャックやポルノダイヤラー攻撃（9月29日の記事参照）同様、たとえマイクロソフトが提供する最新のパッチを適用していたとしても、被害を免れ得ない。

……やれやれ。知らないサイトの Flash なんかは当分見られないかも。

関連する話題: セキュリティ / Web