「Trojan.Rodricter」が拡散にJavaの深刻な脆弱性を悪用することを確認（Dr.WEB）

Dr.WEBは、悪意あるソフトウェア「Trojan.Rodricter」が拡散にJavaの深刻な脆弱性を悪用していることを確認したと発表した。

脆弱性と脅威脅威動向

2012.9.12 Wed 18:28

株式会社Doctor Web Pacific（Dr.WEB）は9月12日、悪意あるソフトウェア「Trojan.Rodricter」が拡散にJavaの深刻な脆弱性を悪用していることを確認したと発表した。「Java Runtime Environmentバージョン1.7x」の深刻な脆弱性（CVE-2012-4681）は、セキュリティ企業FireEye社によって発見され、8月26日に公表された。Oracleによってセキュリティパッチがリリースされたのは8月の30日になってからであったため、この脆弱性は少なくとも4日間残ることとなり、犯罪者たちの恰好の標的となった。Doctor Webは、Trojan.Rodricterを含むいくつかの悪意のあるソフトウェアが、本脆弱性を悪用して拡散されたものであることを確認した。

犯罪者はマルウェアを拡散するために、改ざんされた.htaccessファイルを含んだ悪質なWebサイトを利用した。脆弱性の悪用に成功すると、Javaアプレットは実行ファイルをダウンロードおよび起動するための「class」ファイルを復号化する。この拡散手法を使用する「Trojan.Rodricter.21」は、ルートキットテクノロジーを搭載し、複数のコンポーネントで構成される。感染したコンピュータ上で実行されると、システム内にウイルス対策ソフトやデバッガが存在するかどうかを確認し、自身の権限昇格を試みる。以後の動作は獲得した権限によって異なり、ディスク上に自身のメインコンポーネントを保存した後、十分な権限を得ている場合は、その主要なモジュールを感染したシステム内に隠ぺいするためWindows標準ドライバのひとつを感染させる。

《吉澤亨史（ Kouji Yoshizawa ）》