2013年2月14日

株式会社Doctor Web Pacific

Doctor Webは、Facebookユーザーの間で新たなマルウェアが広く拡散されていることについて警告します。今回、犯罪者達はサイトのwebページ内に任意のHTMLコードを埋め込むために、Facebookアプリケーションを利用しています。トロイの木馬を拡散するために偽のグループが作成され、そこには動画へのリンクが表示されていますが、この動画は実際には悪意のあるスクリプトを実行するためのものです。

Videos Mega又はMega Videosと名付けられたこのグループの数は、2013年2月5日までに合計で数百に上っています。これらグループの1つを訪れたユーザーが、Flash Playerの画像に隠された悪意のあるリンクをクリックすると、Flash Playerのアップデートを促すスクリプトが実行されます。このプロンプトはFacebookのそれを模倣しています。

ユーザーがアップデートのインストールに同意してしまうと、Trojan.DownLoader8.5385を含んだ自己展開型アーカイブがコンピューター上にダウンロードされます。マルウェアによってダウンロードされる他のコンポーネント同様、このトロイの木馬も会社の名前で発行された正式なデジタル署名Updates LTD by Comodoを持っているため、OSのセキュリティに妨げられることなく、信頼できるアプリケーションとしてインストールされます。

Trojan.DownLoader8.5385は、感染したコンピューター上に他のマルウェアをダウンロードして実行する典型的な悪意のあるダウンローダーで、今回のケースでは、Google Chrome及びMozilla Firefoxブラウザ用のプラグインをダウンロードします。これらのプラグインはFacebook上で、様々なグループに対して招待を送信し、自動的に「Like（いいね）」ボタンを押すよう設計されています。また、以下の機能も備えています。

• 被害者のFacebook上の「友達リスト」に含まれているユーザーに関する情報を収集する。
• ソーシャルネットワークページ又は外部リンクで「Like」ボタンを押す。
• 特定のページ上の写真アルバムを共有する。
• グループに参加する。
• 「友達リスト」上のユーザーに対してグループ参加の招待を送信する。
• ユーザーの「ウォール」にリンクを投稿する。
• ユーザーのステータスを変更。
• チャットウィンドウを開く。
• イベントページに参加する。
• ユーザーをイベントに招待する。
• コメントを投稿する。
• Facebookオファーを受け取る、または送信する。

プラグインの設定ファイルは、犯罪者の所有するサーバーからダウンロードされます。これらのプラグインは Trojan.Facebook.310としてDr.Webソフトウェアに検出されています。

また、Trojan.DownLoader8.5385は感染したコンピューター内にBackDoor.IRC.Bot.2344をインストールします。このバックドアは感染させたコンピューターによってボットネットを構築することができ、犯罪者の作成した特定のIRC （Internet Relay Chat）チャットチャンネル経由で送信された様々なコマンドを実行することが可能です。BackDoor.IRC.Bot.2344が実行することのできるコマンドには以下のものがあります。

• CMDコマンドを実行。
• 指定されたURLからファイルをダウンロードし、指定されたローカルフォルダ内に保存。
• コマンド内で指定されたプロセスが実行されているかどうかをチェック。
• tasklist.exeユーティリティによって収集した、実行中のプロセスのリストをリモートサーバーへ送信。
• 指定されたプロセスを停止。
• 任意のアプリケーションを起動。
• 指定されたURLを使用して、Google Chrome用のプラグインをダウンロード・インストール。

以上のことから、Facebookアプリケーションの現在のセキュリティポリシーには、マルウェアの拡散を可能にする抜け穴が存在していると結論づけることが出来ます。上記マルウェアは全てDr.Webウイルスデータベースに追加されているため、Dr.Webユーザーに対して危害を加えることはありません。ユーザーの皆様には、Facebook上のグループを訪問する際には十分に注意し、また、アップデートのダウンロードは正式なソースからのみ行うことを推奨します。