|
Microsoft Malware Protection Center - Threat Research & Response Blog |
Microsoft Malware Protection Centerは3月24日(米国時間)、東北関東大震災のファイルを偽装した新しいマルウェア「Backdoor:Win32/Sajdela.A」に関する情報を公開した。Microsoft Wordに存在したRTFパーサのスタックオーバーフロー脆弱性(Exploit:Win32/CVE-2010-3333)を利用するもので、攻撃が成功するとシステムにバックドアコンポーネントがインストールされ、特定のアドレスからのリモート制御を許してしまう可能性がある。
説明によるとこのマルウェアは「福島原発.doc」というWord文書を偽装したデータとして流通しているという。中身はRTFフォーマットのデータになっており、ここに脆弱性を利用した実行コードが仕込まれている。実行コードはヒューリスティックスキャナによる検出を避けるためにPEファイルシグネチャが削除されており、侵入したあとでPEファイルをディスクに書きこむ前にシグネチャを復元させてコードを実行する仕組みになっている。
対象者をだますために同時に「C:\word.doc」というファイルも生成しこれを開くようにもなっている。内容は福島第1原発に関するニュースになっている。バックエンドコンポーネントは%SystemRoot\System32\csrls.dllに出力される。
マルウェアは時事を巧みに利用し、ユーザのPCへの侵入を試みる。今回のケースではWordドキュメントを開かせるために「福島原発.doc」という名前を使っていることになる。
