Crowtワームの新亜種登場--フィッシングサイトへリダイレクト

　Crowtワームの新しい亜種に感染したブラウザを使用すると、ウィルス対策ソフト企業のウェブサイトにアクセスできなくなる可能性があると、Trend Microが注意を呼びかけている。

　同社が先週発表した勧告によると、米国時間6日に最初に発見された「Crowt.D」は、PCに感染後、まずGoogle Newsサイトを開くと、次にコンピュータ内にあるHOSTSファイルに変更を加え、ウェブサイトのアドレスを追加するという。そして、ユーザがこのアドレス一覧にあるサイトへのアクセスを試みると、目的のサイトの代わりに、ローカルにあるループバックアドレスにリダイレクトされる。そのため、一覧にあるサイトへのアクセスが事実上遮断されてしまうという。Crowt.Dによりアクセスできなくなるサイトのなかには、Trendmicro.com、Kapersky-labs.com、Sophos.com、Symantec.com、Us.mcafee.comなどの各ウィルス対策ソフトウェア企業のサイトが含まれている。

　同社は、Crowt.Dの危険度を「低」と評価している。しかし、Trend MicroのシニアシステムエンジニアAdam Bivianoは、Crowt.Dに感染した場合、ウェブサイトのアドレスを自分でタイプしてもフィッシングウェブサイトにリダイレクトされる可能性があるので、注意が必要だと述べている。

　フィッシングは、詐欺を目的としたサイトが信頼のおける業者が運営するオンラインショップなどのサイトなどに「なりすます」もので、これらの偽装サイトでは、アクセスしたユーザーにパスワードやクレジットカード番号などの機密情報を入力させようとする。

　あるウェブサイトから別のウェブサイトにリダイレクトさせるCrowt.Dの機能は、銀行のオンラインサービスがHOSTSファイルのアドレスリストに含まれている場合、とりわけ危険だとBivianoは指摘する。

　「銀行では、自行のウェブサイトのアドレスをブラウザ上で自らタイプするように顧客に呼びかけている。しかし、ホストファイルが勝手に変更されてしまっていると、URLを入力しても、フィッシングウェブサイトにリダイレクトされてしまう」（Biviano）。

　Bivianoによると、Crowt.Dはブラウザの種類に関係なくリダイレクトできてしまうという。 同ワームの影響を受けるのは、Microsoft Windows 95、98、ME、NT、2000、XPの各OSが動くPCで、感染したCrowt.DはWindows Address Bookにある電子メールアドレスに宛てて自身の複製を送信しながら感染を拡大していくという。