［世界］
トロイの木馬「Storm」の新版がYouTube人気に便乗して暗躍

YouTubeの動画を装った偽リンクをクリックすると感染

（2007年08月28日）

　Stormと呼ばれるトロイの木馬プログラムを広めようとしているクラッカーたちが新たな戦術を使い始めた。ユーザーをだまし、YouTubeの動画を装ったリンクをクリックさせようとするという。

　SANSインスティチュートの最高調査責任者ジョハンズ・ウルリック氏は、先週末にインターネット・ストーム・センターのブログに投稿し、Storm（PeacommやNuwarとも呼ばれる）がYouTubeの動画を装ったリンクを組み込んだ電子メールが配信されていると警告した。

　同氏によると、問題のリンクは、YouTubeへの画像リンクに似ているが、実際には、Stormの旧バージョンで使われたのと同様の「数値」URLが埋め込まれているという。この偽のYouTubeリンクにマウス・カーソルを合わせると、「www.youtube.com」ではなく、数値IPアドレスが表示されるため、詐欺行為を見破るための手がかりになる。

　マカフィー・アバート・ラブズの研究員ビヌー・トーマス氏は、「偽リンクをクリックすると、バックグラウンドで動画をロード中というメッセージが表示される。しかし実際には、巧妙に組み込まれたJavaScriptランタイムが稼働し、Webブラウザやアプリケーションに対応するエクスプロイトのカクテルを試している」と説明する。

　エクスプロイトのいずれかが目的を達すると、そのPCにStormが送り込まれる。

　エクスプロイト・プリベンション・ラブズの研究員ロジャー・トンプソン氏は先週末、これに使用されているマルチストライク・エクスプロイト・パッケージが「Q406 Rollup」であることを突き止めた。これは、昨年末から出回っているもので、Mpackなどのハッカー・キットと同様、十数種類のエクスプロイトが含まれている。

　Stormの開発者たちは、ユーザーをだまして添付ファイルを開かせたり、電子メールに入っているリンクをクリックさせたりするために、メールの内容を臨機応変に変える能力に長けていることで有名だ。先週、シマンテック研究員のホン・ルー氏は、このグループが巧妙なメッセージを作成することに「きわめて熟達している」と警告を発した。

　「彼らには、ニュース価値の高い最新の社会的なトレンドを利用する才能がある。ニュースになるような出来事がない場合には、それらしきものをでっち上げることさえある」（同氏）

　Stormは、今年夏に発生した挨拶状を使ったスパミングの橋渡し役になったと言われている。このプログラムに感染したマシンは、巨大なボットネットを形成し、今月初めに株価操作詐欺目的で行われた大規模なスパム行為の起点にもなった。

(グレッグ・カイザー／Computerworld オンライン米国版)