我々はMac用の偽FlashPlayer.pkgインストーラに遭遇した:
インストールされると、このトロイの木馬はさまざまなGoogleサイト(例えばGoogle.com.tw、Google.com.tlなど)を訪問したユーザを、オランダにあるIPアドレス「91.224.160.26」にハイジャックするため、ホストファイルにエントリを加える。
同IPアドレスのサーバは、正当なGoogleサイトに似て見えるようデザインされた偽Webページを表示する。
例えば、通常の感染していないシステム上で、Google.com.twは以下のように見える:
これに対して、感染したシステム上で、Google.com.twは以下のように見える:
検索リクエストが入力されると、リモートサーバは正当なGoogle検索結果のページをまねた偽ページを返す。
以下は、クリーンなシステム上で、本物のGoogle.com.twサイトを検索した場合だ:
そして以下は、同じ検索を感染したシステムで行った場合:
このページはかなり本物に近いとは言え、リンクのいずれかをクリックしてもユーザは他のサイトには誘導されない。リンクをクリックすると、新たなポップアップページが開くが、これはすべて、別のリモートサーバからのものだ:
何らかの広告だろうと予想していたが、執筆時点では、これらのポップアップページは何も表示していない。ポップアップページを提供しているリモートサーバがダウンしているようだ。
偽の検索結果を返す他のリモートサーバは、現在もアクティブのようだ。
我々はこのトロイの木馬を「Trojan:BASH/QHost.WB」として検出している。
-----
分析はBrodによる。
インストールされると、このトロイの木馬はさまざまなGoogleサイト(例えばGoogle.com.tw、Google.com.tlなど)を訪問したユーザを、オランダにあるIPアドレス「91.224.160.26」にハイジャックするため、ホストファイルにエントリを加える。
同IPアドレスのサーバは、正当なGoogleサイトに似て見えるようデザインされた偽Webページを表示する。
例えば、通常の感染していないシステム上で、Google.com.twは以下のように見える:
これに対して、感染したシステム上で、Google.com.twは以下のように見える:
検索リクエストが入力されると、リモートサーバは正当なGoogle検索結果のページをまねた偽ページを返す。
以下は、クリーンなシステム上で、本物のGoogle.com.twサイトを検索した場合だ:
そして以下は、同じ検索を感染したシステムで行った場合:
このページはかなり本物に近いとは言え、リンクのいずれかをクリックしてもユーザは他のサイトには誘導されない。リンクをクリックすると、新たなポップアップページが開くが、これはすべて、別のリモートサーバからのものだ:
何らかの広告だろうと予想していたが、執筆時点では、これらのポップアップページは何も表示していない。ポップアップページを提供しているリモートサーバがダウンしているようだ。
偽の検索結果を返す他のリモートサーバは、現在もアクティブのようだ。
我々はこのトロイの木馬を「Trojan:BASH/QHost.WB」として検出している。
-----
分析はBrodによる。
