トレンドマイクロは18日、互いに連携しWebを悪用して次々に感染していく、トロイの木馬型の複数の新種ウイルスが確認されたと発表した。なお、同社のウイルス検出パターンファイルでは「4.539.00」以降でこれらのウィルスを検出できるとしている。 今回発表された新種ウィルスは、互いに連携し、Webを悪用して次々に感染していくもので、これにより感染コンピュータが踏み台にされたり、パスワード情報などが漏洩したりする可能性があるとしている。また、この連鎖攻撃のきっかけとして、イタリアの旅行者向けのサービスを紹介する複数の正規Webサイトから感染が始まる事例が報告されているという。 今回発表されたウィルスの侵入方法および活動は以下のとおり。1) 不正コード「HTML_IFRAME.CU」が埋め込まれたWebサイトを閲覧することにより、ユーザの了承無しに他の不正サイトへのアクセスが発生2) Internet Explorerのセキュリティホールにより、アクセスした不正サイト内の「JS_DLOADER.NTJ」を実行3) 「JS_DLOADER.NTJ」がWindows Explorerのセキュリティホールを攻撃し、「TROJ_SMALL.HCK」を別の不正サイトよりダウンロード・実行4) 「TROJ_SMALL.HCK」が不正なWebサイトへ接続し、「TROJ_PAKES.NC」や「TROJ_AGENT.UHL」をダウンロード5-1) 「TROJ_PAKES.NC」が「TSPY_SINOWAL.BJ」をダウンロード。「TSPY_SINOWAL.BJ」は入力したキー情報をもとに各種アカウント情報やパスワードを収集し、不正リモートユーザに送信5-2) 「TROJ_AGENT.UHL」がランダムなポートを開き、プロキシサーバとして活動。これにより、不正リモートユーザは感染したPCを介して、匿名のインターネット接続を行うことが可能になる
バックドア付きSDK「Moplus」、日本語アプリ「Simeji」では不使用
