「TrendLabs(トレンドラボ)」では、自身のコピーをアーカイブファイル内に作成する新たなワームを確認しました。特にZIPやRAR、もしくはRAR の 自己解凍型ファイル(拡張子SFX)などの圧縮形式のアーカイブファイルを用いており、トレンドマイクロの製品ではこのワームを「WORM_PIZZER.SM」として検出しています。特定のサイトからダウンロードされる点では、かつての「WORM_PROLACO」というワームの手口を彷彿とさせますが、今回のワームは、パスワードで保護されたアーカイブファイルを介して自身を拡散し、アーカイブファイル内に実装されたセキュリティ対策を回避する機能も備えている点が大きな特徴となります。

「WORM_PIZZER.SM」は、どのようにしてコンピュータに感染しますか。

「WORM_PIZZER.SM」は、自身のコピーを「パスワードで保護されていないアーカイブファイル」および「パスワードで保護されたアーカイブファイル」の双方に作成することができます。また、侵入したコンピュータ上で他の不正なファイルをダウンロードして実行することも可能です。

トレンドラボでは、「WORM_PIZZER.SM」の詳細手口を確認するため、パスワードで保護されたアーカイブファイルを作成し、このアーカイブファイルにこのワームが作成されることを想定した感染シナリオを再現してみました。この確認作業では、作成された自身のコピーである "holo.exe" 自体はパスワードで保護されていない中、特定のコマンドラインを用いて簡単にアーカイブファイル内にドラッグすることができました。また別の2つの検体を用いた場合も、自身のコピーである "caloco2.com" と "caloco.exe" は、簡単にアーカイブファイル内にドラッグすることができました。以下の図のとおり、これらの検体2つが、パスワード保護されたZIP形式のアーカイブファイルに簡単にドラッグできたことが確認できます。

図1: 「WORM_PIZZER」の感染シナリオ

「WORM_PIZZER.SM」は、どのようにしてパスワードで保護されたアーカイブファイルを介して拡散しますか。

「WORM_PIZZER.SM」は、自身のコピーが“無事に”パスワードで保護されたアーカイブ内に作成された際、以下のように "WinRAR.exe" のコマンドラインを使用します。

図2:「WORM_PIZZER」に使用されるコマンドライン

この特定のコマンドラインを用いることで、「WORM_PIZZER.SM」は、パスワードで保護されたアーカイブファイル内にさらに別のファイルを追加することができ、また、自身のコピーをZIPやRAR、RAR の 自己解凍型ファイル(拡張子SFX)といった圧縮形式のアーカイブファイル内や、"%System Root%" およびそのサブフォルダ内にも作成することが可能になります。

「WORM_PIZZER.SM」が注目される理由は、何でしょうか。

パスワード保護されたアーカイブファイル内に実装されたセキュリティ対策を回避でき、侵入に際してユーザのログイン情報等を収集する必要もないという点が、このワームが注目される理由といえます。多くの場合、「パスワードで保護されたファイルは安全に違いない」と思われがちであり、ユーザの多くは、コンピュータ上でそうしたファイルを安易に解凍し、不正なアーカイブファイルとは知らずに実行してしまいます。いかなるデータやファイルも、暗号化やアーカイブ化されているいないに関わらず、思わぬ脅威をもたらず可能性があることを肝に銘じておくべきでしょう。

また、さらなる解析により、この「WORM_PIZZER.SM」は、別の動作を行うことも判明しています。恐らくこのワームは、まだテスト段階にあり、サイバー犯罪者の動機に応じて新たな不正活動が追加される可能性があると推測されます。例えば、このワームが接続するコマンド&コントロール(C&C)サーバや、ダウンロード先のサイトの情報からは、「Bitcoinマイニングに使用するトロイの木馬型マルウェア」を新たな金銭目的の不正活動に活用しようとサイバー犯罪者が画策していることも予想できます。

「WORM_PIZZER.SM」に感染しているかどうかは、どのようにして確認することができますか。

「WORM_PIZZER.SM」に感染している場合、以下のようなコンピュータ内では現象が発生しているはずです。

以下のいずれかのWebサイトに接続している:

  • http://tazbo<省略>org/downloader/kl/AppLauncher.exe
  • http://tazbo<省略>org/downloader/miner/dwm.exe

以下のファイルがコンピュータ内に存在している:

  • %Application Data%\Microsoft\Internet Explorer\AppLauncher.exe
  • %Application Data%\Microsoft\windows\dwm.exe

「WORM_PIZZER.SM」に感染していることが判明した場合、何をすればよいでしょうか。

以下のファイルを検索し、すべて削除する:

  • %Application Data%\Microsoft\Internet Explorer\AppLauncher.exe
  • %Application Data%\Microsoft\windows\dwm.exe

なお、これらのファイルは、デフォルトでは非表示となっています。以下の手順でファイルを表示させて削除する必要があります。

  • [フォルダー オプション] を開くには、 [スタート] ボタンをクリックし、 [コントロール パネル] 、 [デスクトップのカスタマイズ] 、 [フォルダー オプション] の順にクリックします。
  • [表示] タブをクリックします。
  • [詳細設定] の [隠しファイル、隠しフォルダー、および隠しドライブを表示する] をクリックし、 [OK] をクリックします。

これらのファイルの存在を確認した後、すべて選択の上、[シフト]・[削除]のキーを押して完全に削除してください。すべてのファイルが完全に削除できるまでこの作業を繰り返してください。

トレンドマイクロ製品は、今回の脅威からユーザを守ることができますか。

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、これらの脅威からユーザを守り、感染被害を未然に防ぎます。トレンドマイクロ製品のユーザは、「E-mail レピュテーション」技術、「Web レピュテーション」技術、そして「ファイルレピュテーション」技術の連携により、今回の事例に関連する脅威から守られています。また、今回の事例に関連する「WORM_PIZZER.SM」も、トレンドマイクロ製品により直ちに検知・削除することができます。なお、ユーザ側の防止策としては、パスワードによる保護の有無に関わらず、アーカイブファイルの扱いには十分に注意を払っておくことが重要となります。

トレンドマイクロの専門家からのコメント:

今回の事例では、「WORM_PIZZER」がもたらす不正活動として「Bitcoinマイニングを行うトロイの木馬型マルウェア」の利用をサイバー犯罪者が画策しているのではないかとも考えられます。マルウェアによる不正活動のほとんどが最終的にはマルウェア作成者による金銭目的に行き着く中、こういった「Bitcoinマイニングの活用」は、今後の新たな手口として台頭してくるように思われます。
- スレット・リサーチャー:Dexter To

関連マルウェア