IEの欠陥を突くトロイの木馬「QHosts」

　QHostsというトロイの木馬プログラムが、米MicrosoftのブラウザInternet Explorer（IE）に最近見つかった欠陥を利用してパソコンに感染し、そのPCからインターネットアドレスを調べるコンピュータを乗っ取ってしまう、とウイルス対策会社らが2日（米国時間）警告している。

　このプログラムは、Windows OSの不可欠な部分となっているIEのなかに存在する重大な欠陥を悪用する。この欠陥は「Object Type」の脆弱性で、ユーザーがあるウェブサイトにアクセスすると、そのユーザーのコンピュータ上で自動的にスクリプトコードが実行されてしまうというものだ。

　セキュリティ会社米Network Associatesのウイルス調査エンジニア、Craig Schmugarによると、QHostsは、攻撃者がウェブホスティングプロバイダFortuneCity.comのサイトに何らかの方法で掲示したバナー広告を用いて、Windowsパソコンに感染するという。罠が仕掛けてある広告が含まれたページがIEで表示されると、悪意あるコードがユーザーのパソコンにトロイの木馬を自動インストールするのだ。

　「このバナー広告によって別のポップアップが表示され、そのポップアップ画面がコンテンツをロードする仕組みだ。ページを開くと、トロイの木馬が実行される」（Schmugar）。FortuneCity.comは既にこのバナー広告を撤去した、とSchmugarは付け加えた。

　QHostsプログラムは、別のコンピュータへの感染を広めようとはしないため、ウイルスやワームではないと考えられている。しかし、自動的にパソコンに感染できること、そしてこの脆弱性の修正方法がまだないことから、このトロイの木馬の出現は厄介だ、とSchmugarは話している。

QHostsの仕組み

　QHostsプログラムは、感染したパソコンが、未知のウェブサイトやドメイン名を解決する際に調べにいくコンピュータのインターネットアドレスを書き換える。このドメイン名サービス（DNS）サーバは、一般にインターネットサービスプロバイダ（ISP）などの信頼できる組織が運営しているが、QHostは、別のサーバにリクエストを送る。Schmugarはこのサーバが、トロイの木馬の作者が所有するサーバである可能性が高いと考えている。

　こうした悪意のあるサーバは、感染したコンピュータからのウェブサイトへのリクエストを、全く別のページに転送してしまう恐れがある。

　最初のQHostsプログラムが参照していたサーバは、その後インターネット上から削除されている。しかし今後のQHostsバージョンで、サーバのアドレスを別のものに置き換えるのはたやすいことだろうとSchmugarは言う。「良い点としては、我々がウェブのホストに連絡を取って、そのページを撤去するよう要請できることだ。しかし悪いことに、あるサイトが取り除かれても、別のサイトが現れる恐れがある」（Schmugar）