2013年4月22日

株式会社Doctor Web Pacific

Doctor Webは、マルウェアTrojan.Zekosの新たな亜種による感染の危険性について警告します。このマルウェアは、感染したコンピューター上でDNSクエリを傍受する機能を備えています。ユーザーの要求したサイトの代わりに犯罪者の作成したwebページを表示させるこのメカニズムは、フィッシング攻撃を仕掛けるためにウイルス製作者によって使用されています。

今月の初旬から、Doctor Webのテクニカルサポートには、ソーシャルネットワーキングサイトにアクセス出来なくなったというユーザーからの問い合わせが寄せられるようになりました。ブラウザウィンドウには、ソーシャルネットワークのユーザープロフィールがブロックされた旨のメッセージが表示され、提示されたフィールドに携帯番号を入力し、応答として受け取ったSMSに含まれている確認コードを入力するようユーザーに対して要求します。以下の画像は、ロシアのソーシャルネットワーキングサイト「VKontakte」及び「Odnoklassniki」を装った偽のwebページ上に表示されたメッセージの例です。

「あなたのページに対する不正侵入が確認されました。ご安心ください、webページはセキュリティによって侵入者から守られています。今後の安全のため、携帯番号の再確認と、より強固なパスワードへの変更をお願いします。」

「あなたのページは不正侵入された疑いがあります！我々のセキュリティシステムによって、お使いのアカウントからの大量スパム配信が確認されたため、一時的に強制ロックがかかりました。アカウントへのアクセスを回復するには、モバイルデバイスから認証を行う必要があります。」

これらwebページのデザイン及びブラウザアドレスバーの表示は、該当するソーシャルネットワーキングサイトのものとほぼ同一である上に、ページにはユーザーの名前まで表示されていたため、多くの被害者がすり替えに気づかず、アカウントが本当にハッキングされていると信じてしまう結果となりました。

Doctor Webのウイルスアナリストによる調査の結果、Microsoft Windowsにおけるリモートプロシージャコール(RPC)のコンポーネントである、ウイルスによって改変されたシステムライブラリrpcss.dllが原因であることが明らかになりました。ライブラリに悪意のあるオブジェクトを「加えた」このトロイの木馬はTrojan.Zekosと名付けられ、Windowsの32ビット版と64ビット版の両方を感染させることが可能です。Trojan.Zekosの最初のバージョンは2012年の初めに既に発見されていますが、今回の亜種は従来のバージョンとは異なる特徴をいくつか備えています。

Trojan.Zekosは複数のコンポーネントから成り、感染したコンピューター上で起動されると、暗号化した自身のコピーをランダムな名前と拡張子でシステムフォルダの１つに保存します。次にWindows ファイル保護（WFP）機能を無効にし、OS内での自身の権限を高めようとします。その後このトロイの木馬は、ドライブ上に保存した自身のコピーをコンピューターのメモリ内に保存することを目的としたコードを、ライブラリrpcss.dllに加えます。こうしてライブラリを改変した後、さらに、TCP/IP プロトコルドライバ（tcpip.sys）を改変することでTCP同時接続数を1秒あたり10から1,000,000に増やします。

Trojan.Zekosは極めて高度な悪意のある機能を多数備えています。その1つとして、感染したコンピューター上でMicrosoft Internet Explorer、Mozilla Firefox、Chrome、Opera、Safariなどのブラウザのプロセスに侵入し、DNSクエリを傍受する機能が挙げられます。その結果、例えば、ポピュラーなソーシャルネットワーキングサイトを開こうとしたユーザーのブラウザはクエリの応答として不正なIPアドレスを受け取り、要求されたリソースの代わりに犯罪者の作成したwebページが表示されます。ただし、ブラウザのアドレスバーには正しいURLが表示されています。また、Trojan.Zekosは多くのアンチウイルス会社のサイトやMicrosoftサーバーへのアクセスをブロックします。

Dr.Webのウイルスデータベースには、この脅威のシグネチャ、及びTrojan.Zekosによる感染を修復するためのアルゴリズムが既に追加されています。Trojan.Zekosに感染してしまった場合は、アンチウイルススキャナによるコンピューターのハードドライブのスキャン、又は無料修復ユーティリティDr.Web CureIt!の使用を推奨します。