2003年10月04日(土) 00時00分

未修正のIE脆弱性をつくトロイの木馬QHOSTS登場 - DNS設定を書き換え（MYCOM PC WEB）

シマンテック、トレンドマイクロ、日本ネットワークアソシエイツなどのウイルス対策ソフトベンダー各社は、新ウイルス(トロイの木馬)「QHOSTS」の登場について警告を発している。感染力は強くないものの、PCのDNS設定を書き換え、さらにユーザーの意図したWebサイトとは異なるサイトに誘導させられる。

QHOSTSは自身ではメール送信などの拡散能力を持たず、基本的にWebサイト上のHTMLを開いた時に感染する。HTML上に記載されたスクリプトが実行形式のファイル「aolfix.exe」をシステムディレクトリに作成、ユーザーの環境で実行されることで感染する。

実行されたaolfix.exeは、「C:\bdtmp\tmp」という隠しディレクトリを作成し、その中に100から9999までのランダムな数値で名付けられたバッチファイル(例えば「100.bat」など)を作って実行する。このバッチファイルはシステムディレクトリのWindowsフォルダ内にレジストリファイルを2つ、VBS形式のファイルを1つ作成した後、削除される。作成されたレジストリファイルはレジストリを改変し、感染マシンが使用するDNSサーバを指定のサーバに変更。さらに新たに作成したhostsファイル(IPアドレスと特定名称を対応させて名前解決を行うためのファイル)を参照するようにする。これによって、GoogleやYahoo、Lycosといった著名な検索エンジンにアクセスしようとすると、特定のIPアドレスへリダイレクトされてしまう。

DNSサーバの設定を書き換えるため、問い合わせに正しく対応できず、異常なリクエストが発生する。関連性は明らかではないが、2日にはOCNのDNSサーバに負荷が急増、WebやEメールの利用が困難になるというトラブルが発生している。これがQHOSTSによるものとは限らないが、感染が拡大して同様の現象が起きる可能性もある。

今回QHOSTSが悪用するのはInternet Explorerに含まれる「オブジェクト タグの脆弱性」で、「Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)」で修正されなかった脆弱性だ。IEがオブジェクトの種類を適切に判断しないためにバッファオーバーランが発生、任意のコードが実行される危険性がある、というもの。MS03-032では適切に修正されず、問題を修正したパッチもまだ公開されていない。

そのため、ユーザー側では根本的な回避策はないのだが、インターネットオプションの[セキュリティの設定]から[ActiveXコントロールとプラグインの実行]を無効にすることで一時的に回避できる。また、ウイルス対策ソフトベンダー各社はレジストリを削除するなどの回避策を提供しているほか、ウイルス対策ソフトの定義ファイルを最新のものにアップデートすることで感染に対処できる。

今回はWebサイトへアクセスすることで感染するというもので、現状ではEメール経由での感染は確認されていないが、HTMLメールによる攻撃など、亜種の登場も予想される。致命的な破壊活動は行わないものの、今後も注意が必要だろう。

シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/t/trojan.qhosts.html

トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_QHOSTS.A

日本ネットワークアソシエイツ
http://www.nai.com/japan/security/virPQ.asp?v=QHosts-1

（MYCOM PC WEB）

http://headlines.yahoo.co.jp/hl?a=20031004-00000096-myc-sci