「TrendLabs(トレンドラボ)」では最近、「NECURS」の検出台数急増を確認しました。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」で追跡すると、下図のとおり、2014年2月下旬より増加し始め、3月初旬にピークを迎えていたことが分かります。

図1:「NECURS」の検出台数(2014年2月から3月まで)

「NECURS」は、どのようにしてPCに侵入しますか。

UPATRE」など他のマルウェアにダウンロードされることによりPCに侵入します。下図のようなスパムメールの添付ファイルとして侵入する場合もあります。

図2:「NECURS」が添付されたスパムメールの一例

また、不正な広告等を介してPCへの侵入を試みる場合もあります。

侵入したPC上で「NECURS」を実行すると、どのようなことが起こりますか。

「NECURS」は、PC上にダウンロードされインストールされると、PC内のセキュリティサービスおよびそのサービスの主要動作に関連するコンポーネント等を無効化します。この機能は、情報窃取活動や、自身の検知の回避、PC内で存在し続ける起動時の自動実行等、他の不正活動との組み合わせで利用されます。また「NECURS」は、コンポーネントファイルや他のマルウェアを作成する場合もあります。

この脅威は、ユーザにどのような影響を及ぼしますか。

「NECURS」に感染した場合、セキュリティ関連のサービスやコンポーネントが巧妙に終了させられる等、ご使用のPCのセキュリティシステムが被害を受けることになります。亜種の1つである「BKDR_NECURS.BGSH」の場合、感染したPCのファイアウォール機能を停止させた上でユーザ側で再起動できないようにします。このような被害を受けたPCは、他の情報窃取型マルウェアや、サイバー犯罪者からの遠隔操作を可能にするマルウェア等、さらなる感染被害に見舞われる恐れがあります。

RTKT_NECURS.BGSF」という亜種の場合、感染したPCのセキュリティプログラムに対し、関連サービスやドライバを無効化することで、セキュリティプログラム全体を利用不能にしてしまいます。これにより、感染したPCは、他のマルウェアの攻撃に対しても無防備になります。

この脅威が注目される理由は何ですか。

サイバー犯罪者が不正活動を行う際、メインとなる活動をサポートする補助的な役割を備えた別のマルウェアも活用しますが、そうした「補助的な役割に徹したマルウェア」としてサイバー犯罪者に利用されている点で、「NECURS」は注目に値します。 「NECURS」は、「UPATRE」などの他のマルウェアにダウンロードされ、(自身も含めて)他のマルウェアが検知されたり削除されたりするのを阻止するいわば「盾」のような役割を果たします。

この役割により、サイバー犯罪者は、感染したPC内で「秘密の通路」を得たことになり、ファイアウォール等により検知・ブロックされることなく、マルウェアを侵入・インストールさせ、メインの目的を達成することができます。

トレンドマイクロの製品は、この脅威からユーザを保護しますか。

トレンドマイクロの製品はこの脅威からユーザを保護します。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の「ファイルレピュテーション」技術は、「NECURS」の亜種を活用するマルウェアを検知し、「Webレピュテーション」技術は、他のマルウェアにより「NECURS」の亜種がダウンロードされるのをブロックします。また、「Emailレピュテーション」技術は、「NECURS」に関連する不正なファイルが添付されたスパムメールをブロックします。

この脅威による感染被害からご使用のPCを守るため、ユーザは何をすればよいですか。

受信するEメールに関しては常に注意を払い、特に予期しない不審な送信元からのEメールには細心の注意が必要です。公式機関からを称したメールの場合、別のソース等を利用して本当にその機関が正規であるかどうか事前に確認することも必要でしょう。

不正なメールや不正なファイル等をもたらすスパムメール等に関しては、それらがユーザのインボックスに到達する前にブロックできる機能を備えたセキュリティソフトを導入することも不可欠です。これにより、メールを介した感染被害から自身を守ることができます。