Symantec、「プリンタ爆弾」マルウェア情報を公開【インターネットコム】

インフォシーク / 2012年7月6日 11時51分

.htaccess ファイルを利用したリダイレクト

Symantec は2012年7月5日、同社の公式 Blog で、プリントサーバーに大量の印刷ジョブを送信するマルウェア「Trojan.Milicenso」(別名 Printer Bomb:プリンタ爆弾)に関する情報を公開した、と発表した。

Blog によると、Trojan.Milicenso に関する調査を進めていくうちに、このマルウェアが一種の .htaccess リダイレクトによる Web 攻撃でダウンロードされること、またこれにより、4,000以上の Web サイトが感染したことが判明した。

.htaccess ファイルは、Web サーバーで使われる設定ファイルのひとつで、Web 管理者がネットワークトラフィックを制御するために、特定の Web ページへのアクセスを制限したり、モバイルデバイスからのアクセスを特定のサイトにリダイレクトしたりするのに利用するもの。

攻撃者(と一部の悪用ツールキット)は脆弱な Web サーバーに侵入してこの .htaccess ファイルを書き換える。

ユーザーが感染した Web サイトへのリンクをクリックすると、感染した Web サイトの Web サーバーはそのアクセスを、.htaccess ファイルに基づいて悪質な Web サイトにリダイレクトし、悪質なサイトは特定の脆弱性を悪用して、感染したコンピュータに後続の脅威をダウンロードする。しかし、リダイレクトは通常認識されないので、ブラウザの裏で何が起きているのか、ユーザーにはわからない。

悪質な .htaccess ファイルの中身を見ると、ファイルの先頭と末尾に800行以上の空行が挿入され、ネットワーク管理者の注意を引かないようにしてある。.htaccess ファイルは、外部ユーザーや研究者が感染を発見しないように作成されており、感染した Web サイトへのアクセスが悪質な Web サイトにリダイレクトされるのは、いくつかの条件をすべて満たされた場合に限定されている。

まず、その Web サイトに初めてアクセスし、Web サイトへのアクセスは、検索エンジンの検索結果や SNS、電子メールなどのリンクのクリックであること、脅威が Windows プラットフォーム上で動作していること、ユーザーの多い Web ブラウザを使っていることだ。

攻撃者は、元の URL をリダイレクト要求に挿入し、トラフィックの発信元を追跡できる。

過去3日間だけで約4,000 の Web サイトが感染、悪質な Web サイトにリダイレクトすることが確認された。感染した Web サイトのほとんどは、個人または中小規模企業の Web サイトだが、政府機関や通信業者、金融サービスの Web サイトも感染していたという。

図は、感染した Web サイトを TLD 別に示したもの。他の脅威と同様に、感染が確認されたドメインの大半は .com で、.org と .net がそれに続く。リストには全世界90以上の国または地域が挙がっているが、感染サイトの大部分はヨーロッパと中南米に集中しており、 Trojan.Milicenso の感染パターンと同じ。

この写真の他の画像などはこちら

関連記事
プリンタから大量の文字化けを出力するマルウェア「Trojan.Milicenso」―米国、インド、欧州、南米で感染拡大中
文科省 科学技術政策研究所が Symantec 3製品で多層防御
シマンテック、ベリサインを統合したノートンセキュアドシールに統一

※この記事及び画像は、japan.internet.comより転載の許可を得て掲載しています。

インフォシーク

トピックスRSS

ランキング