アンラボ(キム・ホンソン代表) は、10月29日、ノーベル平和賞の公式サイトが改ざんされ、ウェブブラウザ「Firefox」に存在する未知のゼロデイ脆弱性を利用したマルウェアが配布された事件を受け、この攻撃に対する注意喚起と分析情報を発表した。

 アンラボセキュリティ緊急対応センターの分析によると、ヨーロッパ現地時間の10月26日、ノーベル平和賞のウェブサイトで「Firefox」に存在する未知のゼロデイ脆弱性を悪用し、マルウェアを配布していた事実が明らかとなった。「Firefox」のバージョン3.5と3.6で、Windows Vista以下のバージョンを使用しているシステムで攻撃が有効になるという。

 この未知の脆弱性は、ヒープスプレイバッファオーバーフローと呼ばれる手法を用いたコード実行脆弱性であり、サイトを改ざんして任意のスクリプトを埋め込み、不正なプログラムコードを実行させ、脆弱性のある「Firefox」を通じてユーザーのパソコンにトロイの木馬型マルウェアをダウンロードさせる。このマルウェアは、実行されると、自身のコピー「symantec.exe」を自動生成し、パソコンの起動時に自動実行されるよう設定する。

 パソコン起動時に自動実行されたマルウェアは、米国某所にあるサーバーにアクセスするようプログラムされていたが、現在アクセスができない状態となっている。その他の症状としては、現在実行中のプログラムリストの収集、WebブラウザでアクセスしているWebサイトアドレスの収集、各プロセスの強制終了、コマンドラインの命令実行などがある。

 アンラボのセキュリティソフトウェア「V3」シリーズでは、「JS/Belmoo(V3エンジンバージョン 2010.10.28.00で対応)」「Win-Trojan/Belmoo.48640(V3エンジンバージョン 2010.10.27.01で対応)」の名前で検出し、駆除することができる。

 現在、ノーベル平和賞サイトは修正が完了した状態で、マルウェアがダウンロードされる心配はないが、影響を受けるバージョンの「Firefox」を利用中のユーザーは、脆弱性が修正された最新の「Firefox」v3.6.12、v3.5.15と、メールソフト「Thunderbird」v3.1.6、3.0.10をダウンロードしインストールする必要がある。