LoadImage API の脆弱性を使って忍び込むアドウェアが出現

ウイルス対策ソリューション会社 Panda Software の研究部門 PandaLabs は2日、Microsoft (NASDAQ:MSFT) の『Windows XP SP2』を除く各 Windows が持つ「USER32 Lib」の「LoadImage」API 脆弱性を利用して、ユーザーの許可無くダウンロードさせる初の悪質アドウェア『Searchmeup』を検出したと警告を発した。

LoadImage API の脆弱性は、中国の非営利セキュリティ団体 Xfocus Team が発見し、昨年12月20日に警告を発したものだ。Microsoft は同脆弱性について、1月の月例セキュリティ更新時に修正パッチ (MS05-002) をリリースしている。

この修正パッチを適用していない場合、同脆弱性により、LoadImage API 内でバッファオーバーフローが発生する可能性がある。悪意ある攻撃者は、ユーザーに同脆弱性を利用するよう細工した HTML ページを開かせるだけで、遠隔的に任意のコード実行が可能となる。具体的には、Web サイトや HTML 形式の Eメール内で、細工したカーソルファイルまたはアイコンファイルを表示すると、同ファイル内に埋め込んだコードを実行しかねない。

PandaLabs の警告によると、Searchmeup を配布しているサイトでは、該当する修正パッチを適用していない無防備な各 Windows に対し、ほかにもトロイの木馬やキーボード操作記録プログラム、そして高額料金を取る悪質なアクセスポイントに接続するダイヤルアップ接続ソフトなど、多種多様の悪質プログラムをダウンロードさせるという。

Searchmeup はユーザーの Web ブラウザ設定を変更し、デフォルトのホームページ設定を特定の検索エンジンのサイトに変更する。この検索エンジンは、読み込むたびにポップアップを表示し、スパイウェアや悪質ダイヤルアッププログラムのインストールを試みる。

PandaLabs のディレクタを務める Luis Corrons 氏は、警告の中で次のように述べている。「Searchmeup の出現は、悪質プログラム、中でもアドウェアとスパイウェアが、常に進化を遂げていることを示すものだ。当初アドウェアは、無料配布アプリケーションの一部として、多くのコンピュータに潜り込んだ。これが最初の段階だ。そして次に、『ActiveX』を使って、ユーザーのコンピュータ上にアドウェアをインストールする Web ページが出現した。そして今、ウイルス作者たちでさえも、これまで利用していなかった脆弱性を配布手段として用いる Searchmeup が現われたことで、悪質プログラムの進化は新たな段階に入った」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール