米Symantecは同社が運営するblog「Symantec Security Response Weblog」において、ジャストシステムの日本語ワープロソフト「一太郎」の0-day脆弱性を悪用するマルウェアが、再び発生したと公表した。
これによると、今回発見された「Trojan.Tarodrop.D」は、一太郎の0-day脆弱性を悪用することでトロイの木馬を生成するという。その後、このトロイの木馬はキーロガーを生成し、盗み出した情報をcvnxus.8800.orgのTCP443番ポートへ送信するとされる。
また、今回使用が確認されたキーロガーは、自分自身を「%System%\dg.exe」として複製したうえで、explorer.exeのプロセス空間に注入するのだという。こうすることで、感染PCの利用者からこうしたファイルの存在を隠すことができる。同様の動作は「%System%\svhosts.exe」によって再起動後も発生し、感染を継続させることができるという。
一太郎文書として送付されてくるTrojan.Tarodrop.Dを実際に開いた場合、デスクトップが一瞬フラッシュしたかのように光ったあと、文書の内容が表示される。この様態は脆弱性を悪用するマルウェアに共通したものであるのだという。
一方、ジャストシステムによると、この脆弱性の影響を受ける製品は以下であるという。
- 一太郎2007
- 一太郎ガバメント2007
- 一太郎2007体験版
- 一太郎2006
- 一太郎ガバメント2006
- 一太郎2005
- 一太郎 文藝
- 一太郎2004
- 一太郎13
- 一太郎12
- 一太郎11
- 一太郎ビューア
現在、同社ではアップデートモジュールを開発中であり、準備ができ次第速やかに公開するとしている。
同社では身に覚えのない電子メールに添付されている一太郎文書ファイル、並びに信頼性が保証されていないWebサイトなどにある、出所の不明な一太郎文書ファイルを開かないよう、注意を呼びかけている。
