偽動画再生ソフトが発端! 「GORIADU」ファミリの複合的攻撃を確認
投稿日: 2011年2月8日
マルウェアはさまざまな手口を使用しますが、偽ソフトウェアや偽アプリケーションを利用する手法は、すでに使い古された手口となっています。例えば、「FAKEAV」などのマルウェアファミリは、ユーザをだますために、正規ソフトウェアを装うGraphical User Interfaces (GUI)を利用することでよく知られています。さて、最近、中国語圏を対象とした偽動画再生ソフト(「TROJ_FKEPLAYR.CH」として検出)が、自身を発端とする感染活動を隠ぺいすることにより、メディアの注目を集めました。「TROJ_FKEPLAYR.CH」は、別のマルウェアである「GORIADU」の亜種を作成します。これらの亜種は、次々と続く攻撃において、それぞれ異なる役割を果たします。
この「Webからの脅威」は、どのようにしてコンピュータに侵入しますか?
この脅威は、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、実行ファイル形式で、コンピュータに侵入します。マルウェアは、他の不正プログラムに作成され、コンピュータに侵入します。
このマルウェアは、どのような攻撃をユーザに仕掛けますか?
「TROJ_FKEPLAYR.CH」は、実行されると、複数のファイルを作成します。この中には、「TROJ_GORIADU.SMZ」と「TROJ_GORIADU.SMX」として検出される2つの不正な実行ファイルが含まれています。「TROJ_GORIADU.SMZ」は、本物を装う、中国語圏を対象とした偽動画再生ソフトのインストーラとしての機能を備えています。「TROJ_GORIADU.SMZ」の偽GUI画面の裏側で、ユーザに気付かれないように、「TROJ_FKEPLAYR.CH」は、「TROJ_GORIADU.SMX」を特定のパラメータを使って実行し、2つのファイル "ipseccmd.exe" と "setup<数値>.exe" を作成します。"ipseccmd.exe" は、「IPセキュリティポリシー」の設定に使用されているマイクロソフトの正規ファイルです。そして、"setup<数値>.exe" は、「TROJ_GORIADU.DRP」として検出されるマルウェアです。
「TROJ_FKEPLAYR.CH」は、”ipseccmd.exe” を実行して、感染したコンピュータと特定のIPアドレス間の通信をブロックします。「TROJ_FKEPLAYR.CH」はまた、パラメータ「/VERYSILENT /NORESTART」を使用して「TROJ_GORIADU.DRP」を実行します。
「TROJ_GORIADU.DRP」は、実行されると、「TROJ_GORIADU.SMM」として検出される不正なシステムファイルを作成します。さらに、「TROJ_GORIADU.DRP」は、「TROJ_GORIADU.SMC」、「TROJ_GORIADU.SMW」、および「TROJ_GORIADU.SMY」として検出される不正なDLLファイルも作成します。この後、感染したコンピュータ上で、これらの作成されたファイルが、不正活動を行います。
「TROJ_GORIADU.DRP」が作成したファイルのうち、最も注目すべきものは、「TROJ_GORIADU.SMM」と「TROJ_GORIADU.SMC」です。「TROJ_GORIADU.SMM」は、特定のセキュリティ企業との通信をブロックする機能を備えています。一方、「TROJ_GORIADU.SMC」は、非表示で開いたInternet Explorer(IE)のウィンドウを介して、不正なURLにアクセスします。
この複数のコンポーネントで構成される攻撃において、どのマルウェアが中心的な役割を担っていますか?
「TROJ_FKEPLAYR.CH」は、感染したコンピュータを巧妙に他のマルウェアにも感染させようとします。よって、本攻撃において、中心的な役割を担うマルウェアは、「TROJ_FKEPLAYR.CH」です。
別の注目すべきマルウェアは「TROJ_GORIADU.SMX」です。このマルウェアは、「TROJ_FKEPLAYR.CH」によって実行され、「TROJ_GORIADU.DRP」を作成します。さらに、「TROJ_GORIADU.DRP」は、「TROJ_GORIADU.SMM」や「TROJ_GORIADU.SMC」などの4つの不正なファイルを作成します。
「TROJ_GORIADU.SMW」も重要な役割を果たします。このマルウェアは、「TROJ_GORIADU.SMX」が「TROJ_GORIADU.DRP」を作成する時に使用した暗号化された実行ファイルを復号します。よって、もし他の作成されたファイルがコンピュータから削除されたとしても、「TROJ_GORIADU.SMW」は、「TROJ_GORIADU.DRP」を容易に作成して、感染プロセスを繰り返すことが可能となります。
この脅威は、どのような影響をユーザに与えますか?
複数の不正なファイルがユーザのコンピュータにインストールされるため、まず、さまざまなコンポーネントによる脅威がユーザに降りかかります。こうして、感染したコンピュータが危険にさらされるだけではありません。インストールされた不正なファイルによって、コンピュータのリソース、特にメモリとネットワークの帯域が消費されるのです。
さらに重要なことは、この脅威によりユーザが特定のWebサイトにアクセスするのを阻止されることです。これらのWebサイトは、セキュリティソフトのクラウド技術に関連しているといわれています。また、この脅威のコンポーネントの1つは、不正なURLへ接続する機能も備えています。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
この脅威に関連するマルウェアは、不正なURLにアクセスして、他の不正なファイルをダウンロードしようとします。よって、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、不正なURLをブロックすることにより、この脅威を防ぎます。さらに、不正なファイルをマルウェアとして検出し、高度な技術によって削除します。
「TrendLabs(トレンドラボ)」のウイルス解析者Alden Balevaは、「TrendLabs SECURITY BLOG」において、今回の脅威について次のようにコメントしています。
「検出を避けようとする特有のふるまい(判読不可能なコードの追記やセキュリティソフト関連のWebサイトや関連するサービスへのアクセスブロック)は、決して前例がないというわけではありません。しかし、今回の攻撃により、URLやファイルといったすべてのレベルにおいてコンピュータを保護することの重要性が明確になったといえるでしょう。」
また、トレンドマイクロのシニア・セキュリティ・アドバイザRik Fergusonは、次のようにコメントしています。
「今回のマルウェアの手口は興味深いといえますが、特に新しいものではありません。感染コンピュータ上で複雑に姿を変化させる手法は、通常のパターンマッチング方式での検出から逃れるための常とう手段と化していますが、現在、主要なセキュリティ企業でこの検出方式のみを採用しているところはありません。」