2013年11月27日

株式会社Doctor Web Pacific

Doctor Webは、偽の検索結果を表示させる悪意のあるプログラムである Trojan.Hiloti ファミリーが広く拡散されていることについてユーザーの皆様に警告します。 犯罪者は特別なアフィリエイトプログラムを設置することでマルウェアのインストール数を増やし、それらが確実にコンピューター上にダウンロードされるよう、脆弱性を悪用しています。

偽の検索結果の表示は、情報セキュリティエキスパートや被害にあったことのあるユーザーの間ではよく知られる手法です。この機能は多くの悪意のあるプログラムに組み込まれています。コンピューター上にインストールされたそのようなトロイの木馬は、webブラウザのアクティビティをモニターし、ユーザーが検索エンジンを使用するたびに様々な偽のサイトへのリンクを検索結果として表示させます。この種のマルウェアに属する Trojan.Hiloti ファミリートロイの木馬の拡散は2010年には既に確認されています。現在までにDr.Webのウイルスデータベースに追加された、この脅威の様々な亜種は80を超えています。セキュリティエキスパートは、Trojan.Hilotiの新たな亜種の出現は、マルウェアを配信させるために犯罪者が導入したアフィリエイトプログラムPodmena-2014と関連があるとしています。

犯罪者は、特定の間隔でTrojan.Hiloti 実行ファイルをダウンロードする特別なスクリプトをサイト内に追加するようwebサイトのオーナーに対して持ちかけています。トロイの木馬のインストーラーと共に、感染したシステム内でのトロイの木馬の動作を隠すルートキットモジュールが配信され、犯罪者のサーバー上で実行ファイルを定期的に再パックすることでアンチウイルスによるTrojan.Hilotiの検出を困難にしています。

さらに、コンピューター上にトロイの木馬をダウンロードさせるためにCVE-2012-4969、CVE-2013-2472、CVE-2013-2465、CVE-2013-2551の脆弱性が悪用され、ソーシャルエンジニアリングの手法が利用されています。

1―特定のURLを広めるためにカスタマーがアフィリエイトプログラムに参加する。　2―アフィリエイトプログラムからマルウェアを受け取った配信者（webサイトオーナー）が、それらを様々なサイトからダウンロードさせる。　3―そのようなサイトを訪問したユーザーのコンピューターがマルウェアに感染する。　4―ユーザーが検索エンジンを使用すると、マルウェアがブラウザウィンドウ内に偽のサイトへのリンクを表示させ、ユーザーにクリックさせる。情報がアフィリエイトプログラムへ送信される。　5―カスタマーはクリックごとにアフィリエイトプログラムの運営者に対して報酬を支払う。　6―マルウェア配信者に対して分け前が支払われる。

犯罪者はマルウェア配信者に対して比較的シンプルな手法を提供しています。まず、配信者の所有するサイト内にコードを埋め込むことで、ユーザーのコンピューター上にTrojan.Hilotiがインストールされるようにします。その後、感染したシステムのユーザーが検索エンジンを使用するたびに、トロイの木馬が検索結果をカスタマーによって報酬の支払われたサイトへのリンクに置き換えます。そのようなリンクをクリックしてしまうと、コンピューターを「修復」するためにお金を要求する偽のアンチウイルスなどの望まないアプリケーションがダウンロードされることがあります。配信者はアフィリエイトプログラムを運営する犯罪者から利益の分け前を受け取ります。

犯罪者の使用するこれらのトリックに関係なく、Dr.WebはTrojan.Hilotiファミリートロイの木馬を検出します。Doctor Webソフトウェアのインストールされたコンピューターはこの脅威から保護されていますが、ユーザーの皆様には警戒を怠らないよう、また、疑わしいサイトからダウンロードされた実行ファイルを保存または起動したりせず、OSやアプリケーションを定期的にアップデートするよう推奨します。