トレンドマイクロは、同社のセキュリティブログ「トレンドマイクロセキュリティブログ」において、日本国内において100社以上の感染被害を及ぼしているウイルスに対して注意喚起を発している。

ウイルスは、いわゆるガンブラー攻撃と同じ手口でWebサイトを改ざんするもので、"mstmp" や "lib.dll" といったファイル名で拡散し、日本国内で100社以上の感染を確認しているという。同社ブログでは、攻撃の概要を掲載しているが、それによると

  1. ユーザが改ざんされた正規Webサイトを閲覧
  2. 正規サイト内に仕掛けられたコードによって不正サイトへリダイレクト
  3. 不正サイトからJava の脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
  4. 「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
  5. 「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
  6. 「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリの不正プログラムをダウンロード
  7. 「TROJ_DROPPER」ファミリの不正プログラムが「TROJ_EXEDOT.SMA」を作成
  8. さらに、「TROJ_EXEDOT.SMA」が不正なWebサイトへ通信

という流れで攻撃が行われる。この一連の流れの中で"mstmp"や"lib.dll"というファイルが生成されることも同ブログでは、指摘している。また、本攻撃ではJavaの脆弱性を利用しており、同社ではOSやアプリケーションを最新の状態に保つこと、最新のセキュリティソフトの導入などを注意喚起している。

一連の攻撃の流れ(同社ブログより)

作成されるmstmp(同社ブログより)