11/03/04 21:57:15.35 BE:1978204984-2BP(3333)
Symantecは3月2日(米国時間)、IEのホームページを書き換える興味深いトロイの木馬を発見したことを報告した。
このトロイの木馬はIEのホームページを書き換えるほか、特定のドメインへのアクセスを設定したホームページへ
リダイレクトさせる機能を持っているという。これだけならそれほどめずらしいものではないが、このマルウェアが
特徴的なのその実装方法だ。
説明によれば、このトロイの木馬は「Kingsoft Internet Security」というセキュリティ対策ソフトウェアに同梱されている
DLLや実行ファイルを組み合わせて構築されているのだという(Kingsoft Internet Security事体に問題があるわけ
ではない)。kswbc.dll、kswebshield.dll、KSWebShield.exe、kwssp.dll、kwsui.dllのファイルが使われており、
書き換えもされておらず、「Zhuhai Kingsoft Software Co. Ltd」でデジタル署名も入っていると説明がある。
これら同梱されているコンポーネントは、IEのホームページ設定を書き換える機能を提供しているほか、特定の
ドメインへのアクセスをホームページへリダイレクトする機能を提供している。しかも設定そのものはkws.iniと
spitesp.datというテキストファイルに記述すればよい。つまりこのトロイの木馬の開発者は、正規のソフトウェアと
して公開されているパッケージから目的の作業を達成できるようにコンポーネントをチョイスし、巧みに
組み合わせて目的を達成したことになる。
URLリンク(journal.mycom.co.jp)