トロイの木馬が仕込まれたDOCファイルの例(McAfeeの情報から引用)
トロイの木馬が仕込まれたDOCファイルの例(McAfeeの情報から引用)
[画像のクリックで拡大表示]

 米McAfeeは現地時間11月2日,同社をかたって悪質なプログラム(トロイの木馬)を送りつけるメールが確認されたとして注意を呼びかけた。悪質なプログラムの実体は,Microsoft Wordの文書ファイル(DOCファイル)に仕込まれたマクロ。ファイルを開くと,パスワードなどを盗む別のトロイの木馬がインストールされる恐れがある。

 今回確認されたメールは,差出人を「mcafee@europe.com」などに偽装している。「europe」の部分が別の文字列の偽メールも出回っているという。メールには,「McAfee Inc. Reports.doc」というDOCファイルが添付されている。ファイル・サイズは205824バイト。

 このファイルには,同社が「W97M/Kukudro.t」と名付けたトロイの木馬マクロが仕込まれている。このトロイの木馬には,Microsoft Wordの古いセキュリティ・ホール「不正なWord文書が自動的にマクロを実行する (MS01-034)」を悪用する仕掛けが施されている。

 このため,「MS01-034」のパッチを適用していないMicrosoft Word 2002以前(2002を含む)でこの文書ファイルを開くとトロイの木馬が勝手に動き出し,別の悪質なプログラム「PWS-LDPinch」を生成して実行する。実行されたPWS-LDPinch(ファイル名は「LS060E5.eXE」)は,パソコンに保存されたパスワードなどを収集して攻撃者へ送信する。

 今回のように,セキュリティ・ベンダーなどをかたって悪質なプログラムを送りつける手口は後を絶たない。メールの差出人を偽装することは極めて容易である。差出人名が信頼できる企業や組織であっても,覚えのないメールはすぐに捨てるようにしたい(関連記事:「心当たりのないメールはすぐ捨てよう」)。

米McAfeeの情報