「POPUREB」:今後の脅威状況にも影響する手口となるか?
投稿日: 2011年5月20日
「POPUREB」とは、どのような脅威でしょうか?
「POPUREB」の脅威は、特定のコンポーネントを用いて、正規のマスター・ブート・レコード(MBR)を不正なMBRに置き換える方法で感染活動を行ないます。この方法で感染すると、感染したコンピュータ上では、オペレーティングシステム(OS)の実行前に不正プログラムの実行が可能となります。さらに、関連するすべてのコンポーネントが通常のファイル保存箇所とは違うところに保存されるため、OS上でその存在が確認できないだけでなく、ほとんどのセキュリティソフトで検知するのも困難となります。
「POPUREB」ファミリのマルウェアは、不正なWebサイトに組み込まれており、ユーザがそのようなサイトを不注意に閲覧することにより感染してしまう可能性があります。また、既にコンピュータに侵入している他のマルウェアが、そういった不正なWebサイトから「POPUREB」の亜種をダウンロードしてくることで、感染してしまう場合もあります。
「POPUREB」の脅威は、複数のコンポーネントがそれぞれ役割を担って不正活動を行なう点が大きな特徴です。使用されるコンポーネントは、「インストーラ」・「ブートキットローダ」・「ドライバ」・「ペイロード」なります。以下、それぞれのコンポーネントに言及しながら説明していきます。
「POPUREB」のコンポーネントは、それぞれどのように機能しますか? まず「インストーラ」は、「TROJ_POPUREB.SMA」として検出されるコンポーネントとなります。このコンポーネントは、他のすべての不正なコンポーネントを物理ディスクに書き込む役割を担っています。また、「正規のMBR」を読み込んだ上で暗号化し、自身の「不正なMBR」との置き換えも行ないます。そして、この「不正なMBR」が「ドライバ」の作成を行ないます。
この「ドライバ」は、物理ディスク上に書きこまれた不正なコンポーネントへのアクセスに関する機能を担っています。つまり、物理ディスク上に書きこまれた不正なコンポーネントを読み取ることが可能になります。こうして、実際の不正活動を行なう「ペイロード」に関するコンポーネントを作成して実行する役割も、この「ドライバ」が担っています。さらにこの「ドライバ」は、物理ディスク上に書かれたこれら不正なコンポーネントや不正なMBR上に、別の書き込みがなされるのを防止する役割も担っています。
そして「RTKT_POPUREB.A」として検出されるブートキットが「ブートキットローダ」のコンポーネントとなります。この「ブートキットローダ」と主な役割は、これらすべての不正なコンポーネントを統合させることです。また、この「ブートキットローダ」は、ルートキット機能として、これらの不正なコンポーネントが存在していても(ユーザに気づかれないように)感染したコンピュータを通常のまま機能させ続ける役割も担っています。この役割のため、この「ブートキットローダ」により、各種のフックやハンドラもインストールされます。
そして「TROJ_POPUREB.SMB」として検出されるコンポーネントが、実際のメインとなる不正活動を行なう「ペイロード」です。この「ペイロード」により、「レジストリ値の追加」や「構成ファイルをダウンロードするためのWebサイトへの接続」といった動作を含む8つのスレッドが作成されます。
「TROJ_POPUREB.SMB」は、ユーザにどのような影響を与えますか? 「TROJ_POPUREB.SMB」は、様々な不正活動を行ないますが、中でも注意すべきは、Webサイトへのアクセスです。これにより、侵入したコンピュータからの情報送信や、構成ファイルのダウンロード、他の不正プログラムのダウンロードといった動作を行ないます。特に情報の送信に関しては、この「TROJ_POPUREB.SMB」がインストールされると同時に、特定のサーバへ接続して、感染事実を不正リモートユーザに報告します。
ユーザ側として特に注意すべきは、不正なHTTPトラフィックを作成するため、ブラウザのセッションを乗っ取ってしまう機能を備えている点です。これにより、他の不正プログラムのダウンロードや不正なオンライン広告の表示といった活動を行なうことが可能になります。
「POPUREB」による脅威は、ユーザにどのような影響を与えますか? 「POPUREB」による脅威は、各種のブートキット関連のコンポーネントを利用し、コンピュータのMBRに感染することにより、巧みにユーザから感染事実を隠ぺいすることができます。このため、「実際に感染してもユーザは全く気がつかない」というケースが多いようです。また他の不正プログラムと比べても、「POPUREB」の場合は、MBRといういわば「システムの直下」に侵入するため、駆除作業も困難となります。深刻な感染に至った場合、そのほとんどは、感染したコンピュータをリフォーマットするしか方法がなくなります。このため、コンピュータに保存されていたユーザの重要な情報を失ってしまうという結果に陥ります。
上述のとおり、「TROJ_POPUREB.SMB」として検出されるコンポーネントが実際の不正活動を行ないます。まず「TROJ_POPUREB.SMB」は、侵入したコンピュータ内でブラウザのセッションを乗っ取り、HTTPトラフィックを作成します。これにより、ユーザへの被害が伴ういくつかのトラブルが発生することになります。たとえば、このトラフィックにより、他の不正なファイルがダウンロードされ、さらなる感染被害へのリスクが高まります。また、このトラフィックにより、ユーザは不審な広告サイトへ誘導され、そこからさらに悪質な不正サイトへと誘導される可能性もあります。誘導された不正サイトは、フィッシングサイトなどで、ユーザはクレジットカードやその他の個人情報を収集されてしまう危険性があります。
「POPUREB」による脅威がNoteworthy(要注意)に分類された理由は何ですか? 当初、マイクロソフトでは、「POPUREB」ファミリによる脅威は、感染したコンピュータのMBRを書き換える機能だけでなく、「ドライバ」を同時に使用する「複数のコンポーネント機能を備えたブートキット」と確認されたことから、要注意として見なしていました。この「ドライバ」は、「不正なMBR」やその他の不正なコンポーネントが書き込まれた物理ディスクへの変更を防止する役割を担っていたといいます。 また、「POPUREB」に関する最初のレポートでも、感染したコンピュータを元に戻すためには、リフォーマットをするしか方法がなく、このためコンピュータ内の重要な情報も失わらずを得ないと説明されていたことも理由となります。しかしながら、その後、マイクロソフトからは、回復コンソールを使用した修復方法が示され、実際には、ルートキット・コンポーネントのみを削除すれば十分であることが明らかにされました。したがって、ユーザ側も、リフォーマットに伴う重要情報の消去を心配する必要はなくなりました。
ただし、トレンドマイクロでのさらなる調査では、「POPUREB」ファイミリの亜種は、いずれも、技術的には比較的シンプルに作成されているため、他のサイバー犯罪者たちに簡単に模倣されてしまう可能性もあることが指摘されています。この結果、今後、何らかの改善が施された上で、「POPUREB」に関連した攻撃は増加することも予想され、この点も、要注意に分類された理由となっています。
ブートキットを利用する「POPUREB」は、同じくブートキットを利用する「TDL4」とは異なっているのでしょうか? 確かに双方とも、感染したコンピュータ上のMBRを自身の不正なMBRに書き換えるというブートキットの機能を備えていますが、その目的は異なっています。「TDL4」の場合、感染したコンピュータのOSおよびそこにインストールされているウイルス対策製品から自身を隠蔽させることが、この書き換えの主な目的です。他方、「POPUREB」の場合は、感染したコンピュータのディスク上に書き込まれた自身のドライバやその他のデータを実行させることが、この書き換えの主な目的となります。実際、こうした目的の違いから、「POPUREB」の方が、「TDL4」よりも比較的簡単に検知することができます。「POPUREB」は、自身のデータの暗号化も行われず、自前のファイルシステムも作成されません。また、このことが、回復コンソールによる駆除を可能にしている理由ともなっています。
トレンドマイクロ製品は、この脅威を防ぐことができますか? もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイル・レピュテーション」技術は、「POPUREB」に関連した不正なファイルが、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。また、「Webレピュテーション」技術により、「POPUREB」が組み込まれた不正なWebサイトへのアクセスを未然にブロックします。また、より効果的に検知と駆除を行なうためにも、「ルートキットバスター」の使用をお薦めします。
スレット・エンジニアのPatrick Estavilloは、以下のようにコメントしています。
「POPUREB」自体は、巧妙な手口を駆使する複雑な不正プログラムに分類されるものとはいえません。ただ、技術的にも比較的簡単であることで、サイバー犯罪者の多くが簡単に模倣でき、将来的には巧妙に改良されたバージョンも登場するかもしれません。とりわけ、ブートキットコンポーネントの部分に関しては、まさしくブートキットを駆使した手口の新たな流行となる可能性もあります。
「POPUREB」の感染を避けるためにユーザ側で講じるべき注意事項は、どのようなものがあげられますか?
「POPUREB」ファミリのマルウェアは、不正なWebサイトに組み込まれており、ユーザがそのようなサイトを不注意に閲覧することにより感染してしまう可能性があります。また、既にコンピュータに侵入している他のマルウェアが、そういった不正なWebサイトから「POPUREB」の亜種をダウンロードしてくることで、感染してしまう場合もあります。
「POPUREB」の脅威は、複数のコンポーネントがそれぞれ役割を担って不正活動を行なう点が大きな特徴です。使用されるコンポーネントは、「インストーラ」・「ブートキットローダ」・「ドライバ」・「ペイロード」なります。以下、それぞれのコンポーネントに言及しながら説明していきます。
「POPUREB」のコンポーネントは、それぞれどのように機能しますか? まず「インストーラ」は、「TROJ_POPUREB.SMA」として検出されるコンポーネントとなります。このコンポーネントは、他のすべての不正なコンポーネントを物理ディスクに書き込む役割を担っています。また、「正規のMBR」を読み込んだ上で暗号化し、自身の「不正なMBR」との置き換えも行ないます。そして、この「不正なMBR」が「ドライバ」の作成を行ないます。
この「ドライバ」は、物理ディスク上に書きこまれた不正なコンポーネントへのアクセスに関する機能を担っています。つまり、物理ディスク上に書きこまれた不正なコンポーネントを読み取ることが可能になります。こうして、実際の不正活動を行なう「ペイロード」に関するコンポーネントを作成して実行する役割も、この「ドライバ」が担っています。さらにこの「ドライバ」は、物理ディスク上に書かれたこれら不正なコンポーネントや不正なMBR上に、別の書き込みがなされるのを防止する役割も担っています。
そして「RTKT_POPUREB.A」として検出されるブートキットが「ブートキットローダ」のコンポーネントとなります。この「ブートキットローダ」と主な役割は、これらすべての不正なコンポーネントを統合させることです。また、この「ブートキットローダ」は、ルートキット機能として、これらの不正なコンポーネントが存在していても(ユーザに気づかれないように)感染したコンピュータを通常のまま機能させ続ける役割も担っています。この役割のため、この「ブートキットローダ」により、各種のフックやハンドラもインストールされます。
そして「TROJ_POPUREB.SMB」として検出されるコンポーネントが、実際のメインとなる不正活動を行なう「ペイロード」です。この「ペイロード」により、「レジストリ値の追加」や「構成ファイルをダウンロードするためのWebサイトへの接続」といった動作を含む8つのスレッドが作成されます。
「TROJ_POPUREB.SMB」は、ユーザにどのような影響を与えますか? 「TROJ_POPUREB.SMB」は、様々な不正活動を行ないますが、中でも注意すべきは、Webサイトへのアクセスです。これにより、侵入したコンピュータからの情報送信や、構成ファイルのダウンロード、他の不正プログラムのダウンロードといった動作を行ないます。特に情報の送信に関しては、この「TROJ_POPUREB.SMB」がインストールされると同時に、特定のサーバへ接続して、感染事実を不正リモートユーザに報告します。
ユーザ側として特に注意すべきは、不正なHTTPトラフィックを作成するため、ブラウザのセッションを乗っ取ってしまう機能を備えている点です。これにより、他の不正プログラムのダウンロードや不正なオンライン広告の表示といった活動を行なうことが可能になります。
「POPUREB」による脅威は、ユーザにどのような影響を与えますか? 「POPUREB」による脅威は、各種のブートキット関連のコンポーネントを利用し、コンピュータのMBRに感染することにより、巧みにユーザから感染事実を隠ぺいすることができます。このため、「実際に感染してもユーザは全く気がつかない」というケースが多いようです。また他の不正プログラムと比べても、「POPUREB」の場合は、MBRといういわば「システムの直下」に侵入するため、駆除作業も困難となります。深刻な感染に至った場合、そのほとんどは、感染したコンピュータをリフォーマットするしか方法がなくなります。このため、コンピュータに保存されていたユーザの重要な情報を失ってしまうという結果に陥ります。
上述のとおり、「TROJ_POPUREB.SMB」として検出されるコンポーネントが実際の不正活動を行ないます。まず「TROJ_POPUREB.SMB」は、侵入したコンピュータ内でブラウザのセッションを乗っ取り、HTTPトラフィックを作成します。これにより、ユーザへの被害が伴ういくつかのトラブルが発生することになります。たとえば、このトラフィックにより、他の不正なファイルがダウンロードされ、さらなる感染被害へのリスクが高まります。また、このトラフィックにより、ユーザは不審な広告サイトへ誘導され、そこからさらに悪質な不正サイトへと誘導される可能性もあります。誘導された不正サイトは、フィッシングサイトなどで、ユーザはクレジットカードやその他の個人情報を収集されてしまう危険性があります。
「POPUREB」による脅威がNoteworthy(要注意)に分類された理由は何ですか? 当初、マイクロソフトでは、「POPUREB」ファミリによる脅威は、感染したコンピュータのMBRを書き換える機能だけでなく、「ドライバ」を同時に使用する「複数のコンポーネント機能を備えたブートキット」と確認されたことから、要注意として見なしていました。この「ドライバ」は、「不正なMBR」やその他の不正なコンポーネントが書き込まれた物理ディスクへの変更を防止する役割を担っていたといいます。 また、「POPUREB」に関する最初のレポートでも、感染したコンピュータを元に戻すためには、リフォーマットをするしか方法がなく、このためコンピュータ内の重要な情報も失わらずを得ないと説明されていたことも理由となります。しかしながら、その後、マイクロソフトからは、回復コンソールを使用した修復方法が示され、実際には、ルートキット・コンポーネントのみを削除すれば十分であることが明らかにされました。したがって、ユーザ側も、リフォーマットに伴う重要情報の消去を心配する必要はなくなりました。
ただし、トレンドマイクロでのさらなる調査では、「POPUREB」ファイミリの亜種は、いずれも、技術的には比較的シンプルに作成されているため、他のサイバー犯罪者たちに簡単に模倣されてしまう可能性もあることが指摘されています。この結果、今後、何らかの改善が施された上で、「POPUREB」に関連した攻撃は増加することも予想され、この点も、要注意に分類された理由となっています。
ブートキットを利用する「POPUREB」は、同じくブートキットを利用する「TDL4」とは異なっているのでしょうか? 確かに双方とも、感染したコンピュータ上のMBRを自身の不正なMBRに書き換えるというブートキットの機能を備えていますが、その目的は異なっています。「TDL4」の場合、感染したコンピュータのOSおよびそこにインストールされているウイルス対策製品から自身を隠蔽させることが、この書き換えの主な目的です。他方、「POPUREB」の場合は、感染したコンピュータのディスク上に書き込まれた自身のドライバやその他のデータを実行させることが、この書き換えの主な目的となります。実際、こうした目的の違いから、「POPUREB」の方が、「TDL4」よりも比較的簡単に検知することができます。「POPUREB」は、自身のデータの暗号化も行われず、自前のファイルシステムも作成されません。また、このことが、回復コンソールによる駆除を可能にしている理由ともなっています。
トレンドマイクロ製品は、この脅威を防ぐことができますか? もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイル・レピュテーション」技術は、「POPUREB」に関連した不正なファイルが、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。また、「Webレピュテーション」技術により、「POPUREB」が組み込まれた不正なWebサイトへのアクセスを未然にブロックします。また、より効果的に検知と駆除を行なうためにも、「ルートキットバスター」の使用をお薦めします。
スレット・エンジニアのPatrick Estavilloは、以下のようにコメントしています。
「POPUREB」自体は、巧妙な手口を駆使する複雑な不正プログラムに分類されるものとはいえません。ただ、技術的にも比較的簡単であることで、サイバー犯罪者の多くが簡単に模倣でき、将来的には巧妙に改良されたバージョンも登場するかもしれません。とりわけ、ブートキットコンポーネントの部分に関しては、まさしくブートキットを駆使した手口の新たな流行となる可能性もあります。
「POPUREB」の感染を避けるためにユーザ側で講じるべき注意事項は、どのようなものがあげられますか?
- 検索結果のページに表示された未知のWebサイトは閲覧しないこと。
- 迷惑メールや発信元が不明なメールに関しては、メール内にリンクをクリックしたり、添付ファイルを開いたりしないこと。
- 最脅威状況に関する記事などに目を通して、常に最新の注意事項や対策に精通しておくこと。
- 重要な情報に関しては必ずバックアップと取るということを習慣化すること。これにより、今回のようなブートキット関連の不正プログラムに感染した場合も、そうした情報を完全に失うという最悪の事態を避けることができます。