「QUERVAR」がもたらす脅威とは
「SALITY」や、「XPAJ」、「MUSTAN」、「QUERVAR」といえば、いずれもそれぞれが異なった動作を示し、削除したり閉じ込めたりする対策が非常に難しいことから、2012年における最も悪名高いファイル感染型マルウェアとしても知られています。これらのマルウェアの主な動作である「ファイル感染」が、感染拡大を簡単に許すことになった大きな理由ですが、他方、それ以外のさまざまな手段が駆使されたことも、感染被害が何千台ものコンピュータに及んだ理由だと言えます。
その中でも「QUERVAR」は、2012年8月に数百台のコンピュータに感染被害が発生したことで知られています。「QUERVAR」は、異なる動作を示すようなポリモーフィズムの性質は有していませんが、複雑な暗号化やファイル名変更等の機能を有していたため、現在でもコンピュータからの削除が困難なマルウェアと見なされています。最近の亜種には、簡単に感染拡大することに加えて、ランサムウェアや「ZACCESS」(別名:「ZEROACCESS」/「SIREFEF」)といったマルウェアと一緒にコンピュータに侵入するものも確認されており、これまで以上により極めて危険なマルウェアとも見なされています。
「QUERVAR」は、どのようにコンピュータに侵入しますか。
「QUERVAR」がどのように発生してきたのかは、まだ正確には把握されていないものの、この亜種に関する現時点での調査および解析では、そのほとんどがJavaやPDF関連の脆弱性が存在するWebサイトからダウンロードされたことが判明しています。
トレンドマイクロでは、2012年5月時点で「PE_QUERVAR.A」として検出される感染事例を確認しています。
「QUERVAR」は、どのようにして他のコンピュータへと拡散しますか。
"DOC" や "DOCX "、"XLS "、"EXE " といった拡張子のファイルを含むドライブには簡単に感染します。特に「PE_QUERVAR.B-O」の場合は、共有ドライブ、もしくは<System Volume Information>フォルダのないドライブを介して感染します。
「PE_QUERVAR.B-O」の場合、侵入したコンピュータ内で共有ドライブの存在を確認すると、その中に上記の拡張子のファイルを検索します。そしてこれらのファイルの存在を確認すると、ファイル感染を行います。
こうして、感染したファイルが共有ドライブを介して他のコンピュータから開かれることで、この脅威が拡散していくことになります。
「QUERVAR」に感染しているかどうかは、どのようにして確認できますか。
以下のような症状が確認された場合は、「QUERVAR」の亜種に感染している可能性があります。
- "MOR.EXE" というファイルが存在している場合。このファイルは、「QUERVAR」の亜種のいくつかを作成してインストールします
- Microsoft Excel や Word のファイルが開けない場合
- Microsoft Excel や Word のファイルのファイルが以下のように変更されている場合
- <元のファイル名>xcod.scr
- <元のファイル名>xslx.scr
- 「Windows タスク マネージャ」にアクセスできない場合
「QUERVAR」の感染が危険だといえる理由は何ですか。
「PE_QUERVAR.E-O」は、侵入したコンピュータ内にランサムウェアや「ZACCESS」(別名:「ZEROACCESS」/「SIREFEF」)といったマルウェアをダウンロードする機能を備えています。こういったランサムウェアは、米連邦捜査局(FBI)から警告を装ってコンピュータに侵入し、感染したコンピュータは完全に乗っ取られることになります。
他方、「ZACCESS」(別名:「ZEROACCESS」/「SIREFEF」)といったマルウェアの場合、「Windows Update」および「セキュリティ センター サービス」に関連する複数のレジストリ関連の情報を削除する機能、さらには、侵入したコンピュータ上に他のマルウェアを作成する機能も備えています。これにともなって、以下のようなリスクにさらされることにもなります。
- さらなるマルウェアの感染リスクにさらされる
- 「Windows Update」の停止により、脆弱性利用のリスクにさらされる
- 「セキュリティ センター サービス」の無効化により、使用中のコンピュータに何らかの変更が生じたときに注意喚起がされなくなる。これにより、ユーザに気づかれることなく、マルウェアが簡単に不正活動を実行できる状況になってしまう
「PE_QUERVAR.B-O」は、ボットネット「Zeus」に関連した情報収集型マルウェアの「ZBOT」ファミリが組み込まれたサイトや、「Hermes」とも呼ばれトレンドマイクロでは「BKDR_GATAKA.A」として検出されるマルウェアが組み込まれたサイト上でも確認されており、「PE_QUERVAR.B-O」の感染と共に、こうした情報収集型として知られるこれらのマルウェアにも感染してしまう危険性があります。
「QUERVAR」に感染してしまった場合、どのように対処すればよいでしょうか。
トレンドマイクロが提供している対応方法を実行することで「QUERVAR」が削除されます。さらに、以下の修正も行われます。
- 「QUERVAR」がファイル感染の際に施した「暗号化の形跡」がすべて削除される。
- ファイル感染されたファイルの駆除が実行された上で、ファイル名が元の名称に戻される。右クリックによる「ファイル名変更」でファイル名を元の名称に戻しただけではファイルの駆除にならないのでご注意ください。
トレンドマイクロ製品は、この脅威を防ぐことができますか。
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「QUERVAR」およびその関連コンポーネントがもたらす脅威からユーザを守り、「QUERVAR」だけではなくランサムウェアや「ZACCESS」(別名:「ZEROACCESS」/「SIREFEF」)の感染被害を未然に防ぎます。また、「QUERVAR」や関連のマルウェアがアクセスするサイトもブロックし、これにより、不正なファイルがユーザのコンピュータにダウンロードされてくるのを確実に阻止することができます。