ルーマニアのセキュリティ対策ベンダーBitDefenderは12月18日(現地時間)、Googleのテキスト広告表示システムを乗っ取るトロイの木馬を発見したと発表した。「Trojan.Qhost.WU」の名称が付けられたトロイの木馬は、感染したマシンのhostsファイルを書き換え、本来であればGoogleのテキスト広告を表示する際に接続すべきGoogleのサーバではなく、第3者の用意した別のサーバへとユーザーを誘導する。ユーザーが誘導先のサーバでマルウェアなどの悪意のあるコードに影響を受ける可能性があるだけでなく、本来表示されるべき広告が出現しないため、サービス事業者にとってはビジネス機会の損失につながる。

「Trojan.Qhost.WU」はクライアント側のマシンに感染し、ユーザーのhostsファイルを書き換える。hostsファイルは、インターネットにアクセスするアプリケーションがドメイン名からIPアドレスを割り出す際に最初に参照するアドレス変換テーブルである。これを利用してWebブラウザなどによる接続先サイトを別のものにすり替えさせる。Googleではテキスト広告を表示させる際に、まずページ上に埋め込んだHTMLとJavaScriptの小さなコードを実行し、Googleの広告サーバからデータを読み込もうと試みる。今回発見されたトロイの木馬はこの広告サーバへの接続プロセスに干渉し、本来ページ上に埋め込まれたコードが意図するサーバとは別のサイトへと接続をリダイレクト(転送)させる。具体的には「page2.googlesyndication.com」で示されるサーバがあった場合、本来であれば「6x.xxx.xxx.xxx」のようなIPアドレスに接続されなければならないものを、「9x.xxx.xxx.xxx」といった別のIPアドレスへと転送してしまう。結果としてユーザーのマシンには別の広告サーバが用意した広告テキストやリンクが表示されたり、最悪のケースではマルウェアのようなコードが実行されることになる。

BitDefenderではTrojan.Qhost.WUの感染力を「low(低い)」、破壊力を「medium(中規模)」と評価している。Googleのテキスト広告から直接感染するタイプのマルウェアではないが、ユーザーが種々のサイトを訪問しているうちに当該のコードに感染している可能性がある。確認方法はpingなどのネットワークコマンドで「page2.googlesyndication.com」の接続先IPアドレスを確認し、「9x.xxx.xxx.xxx」のようなアドレスが表示されるかで判別する。その場合はhostsファイルの当該エントリを削除して元の状態に復元する。