2011年12月14日掲載

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストによると、2011年の11月にはSMS詐欺の新たな手法、および製薬会社から情報を盗むトロイの木馬の発見があり、さらに、悪意のあるエンコーダーに感染するコンピューターの台数が急増しました。 ロシアの下院選挙はスパマーやウイルス製作者達に無視された形となりました。

11月のスパム

2011月11月4日に行われたロシア下院選挙はスパマー達の関心を引かなかったようです。予想に反し、政治に関する内容の大量スパムは先月に比べて増加しませんでした。また奇妙なことに、Dr.Webソフトウェアによって検査されたスパムトラフィック内のメッセージは、ウクライナの政治に関するものがロシアのそれを上回っていました。

それと同時に、ロシア軍人の給与増加に関する内容の大規模なスパムメール配信が記録され、それらのメールにはExploit.Rtf.basedという脅威を含んだファイルが添付されていました。その悪意のあるコードは、RTFファイルが開かれると同時に侵入者が任意のコードを実行することを可能にしてしまうMicrosoft Wordの脆弱性を悪用し、ユーザー権限を手に入れます。メッセージの内容が軍人達にとって興味深いものであったことから、多くの人がこの手法に陥ることとなりました。

モバイルデバイスに対する脅威

Javaに対応したモバイルデバイスを所有するロシアのユーザーが多数、サイバー詐欺の被害にあいました。この詐欺の手法は次の通りです。まず、何も知らない被害者がMMSの受信を知らせるSMSを受け取ります。メッセージの内容を見る為にリンクをたどってしまうと、画像または動画と一緒にトロイの木馬がデバイス上にダウンロードされます。多くの場合このトロイの木馬はJava.SMSSend.251ですが、検出を困難にするためプログラムは頻繁に改変され、Doctor Webのウイルスアナリストによると、平均して2週間ごとに新たな亜種が登場しています。

このトロイの木馬が感染したモバイルデバイス上で起動されると、有料の番号にメッセージを送信し、その結果被害者のアカウントからお金が引き落とされます。ユーザーやサポートエンジニアの対応を遅らせることを企図して、そのようなメッセージは通常週末か夜間に送信されます。

製薬会社を狙ったトロイの木馬

11月の初めに、ウイルス製作者達は製薬会社で使用されているアプリケーションからデータを盗むことを特に目的として作られたトロイの木馬を拡散させました。この BackDoor.Dande （C言語で記述）は感染したシステム内で起動されると、システム内に自身のコピーが既に存在していないかを確認し、アクティブなユーザーログインとOSのバージョンを判別します。Windows XP またはWindows Server 2003であった場合、バックドアはリモートコントロールサーバーに接続し、暗号化された設定ファイル、および解読されてディスク上のディレクトリに保存されるTrojan.PWS.Dandeコードをダウンロードします。

このバックドアは、あまり一般的ではないサーバー検索方法を使用します。既知のサーバーが利用不可能だった場合、サーバー名生成のアルゴリズムを使用して他のサーバーを探すというものです。さらにそのペイロードは、このマルウェアに感染したコンピューター上でしか実行できません。システム内の全てのプロセスによって起動されるadvapi32.dllファイルがトロイの木馬に感染するため、全てのプロセスに簡単にコードが挿入されます。

Trojan.PWS.Dandeは、薬品の注文に使用するクライアントアプリケーションから情報を盗み、さらにシステム情報およびアカウントパスワードを含む情報を収集します。犯罪者が最も関心を寄せているのは、注文数および価格であると考えられます。盗まれた情報は全て暗号化され、犯人の操作するサーバーへと送信されます。言い換えれば、このケースは特定の分野における情報のみを狙った、非常にまれなトロイの木馬であると言えます。

11月のその他の脅威

2011年11月、Dr.WebのアナリストはBackDoorFlashback.8と呼ばれる、Mac OS Xを標的とした複合バックドアの新たな亜種を発見しました。

BackDoor.FlashbackはMac OS Xを狙ったマルチコンポーネントバックドアで、そのインストーラーはAdobe Flash Playerインストーラーを装っています。ユーザーはFlashPlayer-11-macos.pkg ファイルを含んだアーカイブをダウンロードするよう促され（他のOS上ではダウンロード出来ません）、起動されたインストーラーは、トロイの木馬のメインモジュールをサイトからダウンロードしようと試みます。ダウンロードできなかった場合、インストーラーは終了します。

従来のものと異なりこの新しいBackDoor.Flashback.8は、ターゲットとするプロセスがエクスポートされたdyldモジュールルーチンを持っているかどうかに応じて別々に実行される、2つの方法でコードをプロセスに挿入します。ルーチンが無かった場合、トロイの木馬はメモリ内で必要な手段を検索します。

さらに、11月後半にはTrojan.MBRLock恐喝プログラムの新しい亜種が出現しました。

感染したシステム上で起動されると、Trojan.MBRlock.17はそのファイルをランダムな名前で一時ディレクトリ内に保存します。次にcalc.exeプロセス（標準的なWindows電卓）を実行し、そのプロセスにコードを挿入します。挿入されたコードは%APPDATA%\Adobe\Update\ディレクトリにファイルを作成し、explorer.exeを実行してそのプロセス内にもコードを挿入します。そしてexplorer.exeがMBRを感染させ、Windowsを終了させようとします。興味深いことに、従来のものと異なりTrojan.MBRlock.17は活字、画面に表示されるテキスト、オリジナルのMBRコードなどの自身のコンポーネントをランダムディスクセクターに書き込み、そのデータをどのセクターに保存するかを決定するコード定数を変更することが出来ます。ロック解除キーは特定のパラメータに基づいて生成されます。このトロイの木馬はまた、ディスクの第一セクターのバックアップを作成し、パーティションテーブルを削除します。

全体として、2011年11月の感染数は平均的なものでしたが、Trojan.Encoder およびTrojan.FolderLock　については先月に比べて増加が見られました。Doctor Webでは、11月に入ってTrojan.FolderLockに関する問い合わせが66件、11月最後の週にはTrojan.Encoder.123に関する問い合わせが63件ありました。コンピューター上に保存してあるデータを失わないよう、バックアップを作成しておくことを推奨します。

11月にメールトラフィック内で検出された悪意のあるファイル

11月にユーザーのコンピューター上で検出された悪意のあるファイル