米Symantecは、同社が運営するblog「Symantec Security Response Weblog」において、+Lhacaの0-day脆弱性を悪用するウイルスを発見したことを明らかにした。

エントリによると、Microsoft Office製品に関連した0-day脆弱性が発見されることがこの6カ月間で著しく減少した一方で、ファイルフォーマットに関連した脆弱性は引き続き発見され、かつ、攻撃に悪用されているという。

そして6月22日、+Lhacaの特定のLZH形式のファイルに起因する0-day脆弱性が悪用されていることを、同社日本オフィスのSecurity Responseが特定したのだという。また、この脆弱性は典型的なstrcpy()関数の誤用に起因するスタックベースのバッファオーバーフローであり、アーカイブに含まれるファイル名として設定された長大な文字列によって生じるとされる。同社は少なくとも+Lhacaバージョン1.20にはこの脆弱性が存在していると報告している。

同社によると、このウイルスに感染するとWindowsシステムフォルダ内にバックドアが設置される。現在、「Trojan.Lhdropper」として同社製品によって検知・駆除可能であるという。加えて、+Lhacaの開発者は「バッファーオーバーフロー問題に関して」というページを用意し、修正版の+Lhaca 1.21の配布を開始している。

同社は、このウイルスはLZHと+Lhacaという日本のみで広く利用されているファイル形式・アプリケーションを感染に悪用していることから、地域性の高い攻撃である可能性が高いとし、電子メール利用の「重要な原則」である「魅惑的なファイル名がつけられていたとしても、見知らぬ送信者の添付ファイルは開かない」を守ることが重要だとしている。