この脅威は、どのようにしてコンピュータに侵入しますか?

 この脅威は、海賊版の映画やアプリケーションを提供するトレントサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。また、"LimeWire" といったピアツーピア(P2P)ファイル共有ソフトを介してコンピュータに侵入する場合もあります。

この脅威は、どのような攻撃をユーザに仕掛けますか?

 この脅威事例においてメインとなる不正プログラムは、特別に細工された動画ファイル(拡張子MOV)で、トレンドマイクロの製品では「TROJ_QUICKTM.A」として検出されます。MOVファイルとは、Appleのデジタル・メディアプレーヤ "QuickTime" で使用される動画ファイル形式のことです。この不正プログラムにより、侵入したコンピュータ上に複数の不正なファイルがダウンロードされることになります。

1. 「TROJ_QUICKTM.A」は、ユーザを別の不正なWebサイトに誘導します。このWebサイトは、動画ファイルを見るために必要とされる、Windows Media Player用ソフトウェア "Media Pass" をインストールするWebサイトのように装います。これにだまされたユーザは、他の不正プログラムである「TROJ_DLOAD.QWK」をダウンロードし、実行することになります。

2. 「TROJ_QUICKTM.A」は、コーデックのエラーメッセージを表示し、QuickTime用コーデックの更新版をダウンロードするように促します。実際、この更新版は不正なファイルで、「TROJ_TRACUR.SMDI」と検出されます。

この脅威は、どのような影響をユーザに与えますか?

 「TROJ_QUICKTM.A」は、複数の不正プログラムをダウンロードするため、ユーザは更なる感染の脅威にさらされることとなります。ダウンロードされる不正プログラムは、この不正プログラムを操作するサイバー犯罪者がどの不正Webサイトに組み込むかによって異なり、単純なダウンローダである場合と、悪質な情報収集型不正プログラムである場合とがあります。

なぜこの攻撃は Noteworthy に分類されたのですか?

 今回の脅威事例においては、特別に細工された動画ファイル(MOVファイル)が利用されます。この不正なMOVファイルは不正なコードを含んでおり、この不正コードにより、QuickTime 7.6.6 およびそれ以前のバージョンの機能が悪用され、他の不正なファイルをダウンロードするWebサイトへと導きます。サイバー犯罪者は、「wired actions」とも呼ばれる QuickTime の機能を悪用し、MOVファイルにより特定の働きが実行されるようにしました。今回の場合、「特別に細工された不正MOVファイルの再生により、ユーザは不正Webサイトへ誘導される」という設定が施されたのです。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

 トレンドマイクロ製品をご利用のユーザは、クラウド型技術と連帯した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「Web レピュテーション」技術により、今回の脅威に関連する不正なWebサイトをブロックし、他の不正なファイルのダウンロードを防ぎます。また、「ファイルレピュテーション」技術により不正なファイル「TROJ_QUICKTM.A」および「TROJ_DLOAD.QWK」、「TROJ_TRACUR.SMDI」を検知し、実行を防ぎます。

コンピュータを攻撃から守るにはどうすればいいのですか?

 ユーザは、インターネットを利用して動画ファイルをダウロードする際、特に、最近上映されたばかりの映画をダウンロードするような場合には細心の注意を払う必要があります。そのようなファイルは、ほとんどが違法に配信されているものであり、正規の動画ファイルとして利用できるはずはなく、ダウンロードすべきではありません。動画ファイルは、ダウンロードの際に料金を課すような、信頼できる正規のオンライン・メディア・サイトからダウンロードすることが何よりも重要な対策となります。

関連マルウェア