いまだ猛威を振るうファイル感染型ウイルス:「PE_SALITY」・「PE_VIRUX」
投稿日: 2011年5月13日
「PE_SALITY」と「PE_VIRUX」といえば、「いまなお最も広く流行しているファイル感染型ウイルス」として知られており、実際、トレンドラボでも、この2つのウイルスに感染したコンピュータの数が、アジア太平洋地域ではいまだ増加傾向にあるのを確認しています。また南米地域においても、2010年3月に感染数が急増したのを確認しています。
ファイル感染型ウイルスは、不正プログラムの感染拡大においても致命的な被害をもたらすことができますが、今日、サイバー犯罪者側でもその作成目的は、かつてのように「自分たちの存在を知らしめるため」というものではなくなってきました。むしろ、さらに大きな攻撃をしかけるための「手段」として作成されるようになってきたようです。
「PE_SALITY」や「PE_VIRUX」のファイル感染型ウイルスは、「ZBOT」や「FAKEAV」や「KOOBFACE」のようにその悪名が広く知れ渡っているわけではありません。「ZBOT」は、ツールキット「ZeuS」を駆使して作成された「ZBOT」の感染コンピュータにより巨大ボットネット「Zeus」を形成。「FAKEAV」は、偽セキュリティソフトの手口を駆使する不正プログラムとしてあまりにも有名です。そして「KOOBFACE」は、Facebookなどのソーシャル・ネットワーキング・サイト(SNS)を標的とするマルウェアとして知られています。そうした「派手さ」はないものの、いわゆる「マルウェアのテクノロジー」を確実に進化させながら一向に感染数が衰えないというのが、「PE_SALITY」や「PE_VIRUX」の特徴といえるでしょう。
ウイルスは、どのようにしてコンピュータに侵入しますか?
「PE_SALITY」の場合:「PE_SALITY」は、USBなどのリムーバブルドライブやネットワーク共有フォルダを介してコンピュータに侵入します。また悪意のあるWebサイトからダウンロードされ、侵入する場合もあります。また、特定の「PE_SALITY」ファミリの中には、感染経路として「Windowsショートカットファイル内の脆弱性」を利用する亜種もあります。
「PE_VIRUX」の場合:「PE_VIRUX」は、通常、脆弱性を利用してユーザのコンピュータに侵入します。実際、PDFファイルの脆弱性を利用してこのウイルスがダウンロードされるケースも確認しています。他方、Webサイトを閲覧しただけで感染にいたる「ドライブバイ・ダウンロード」の手口で侵入する場合もあります。さらには、「PE_SALITY」と同様、リムーバブルやネットワーク共有フォルダを介して侵入する場合もあります。
このウイルスは、どのようにして感染を拡げますか?
「PE_SALITY」の場合:例えば、「PE_SALITY」ファミリの亜種である「WORM_SALITY.RL」は、コンピュータに侵入すると、「Windowsショートカットファイル内の脆弱性」を利用して不正なLNKファイルを作成します。作成されたLNKファイルは「EXPL_CPLNK.SM」として検出され、以後、このワームの自動実行に利用されます。このワームは、ネットワーク共有フォルダを介して侵入する場合、このように脆弱性を利用して自身を実行させます。
そしてこのワームにより「PE_SALITY.RL-O」というウイルスが作成され、このウイルスに感染したファイルが「PE_SALITY.RL」として検出されます。「PE_SALITY.RL-O」は、このようなファイル感染を介したり、さらにはリムーバブルドライブに作成すなどといった手法でウイルス感染を拡散させていきます。
「PE_SALITY」は、いずれの亜種(ウイルス)も、「SCR」や「EXE」を拡張子にもつファイルに感染します。例えば「WORM_SALITY.RL」により作成された不正コードの「PE_SALITY.RL-O」が、これらのファイルに感染することで「PE_SALITY.RL」となります。そしてネットワーク共有フォルダ等を介して他のユーザがこれらのファイルにアクセスすることで、感染が拡散していくことになります。
「PE_VIRUX」の場合:「PE_VIRUX」は、リムーバブルドライブやネットワーク共有フォルダを介して感染活動を行ないます。そして「PE_SALIT」と同様、「SCR」や「EXE」を拡張子のファイルに感染します。さらに「ASP」や「HTM」や「PHP」を拡張子にもつファイルにも感染します。
これらのファイル感染型ウイルスが、侵入したコンピュータ内で実行されるとどうなりますか?
「PE_SALITY」の場合:「PE_SALITY」ファミリは、いずれの亜種の場合も、実行されると、まず「SCR」や「EXE」を拡張子にもつ全てのファイルに感染します。また、80番ポートを介してIRCサーバにも接続します。この接続により、不正リモートユーザからのコマンドを受信して実行します。こうして、感染したコンピュータのセキュリティが脅かされることになります。さらにこの接続により他のマルウェアのダウンロードも行ない、ダウンロードされるマルウェアも、接続される時間により異なります。こうして、他の不正プログラムに感染する可能性にも見舞われることになります。
また、「PE_VIRUX」と同様、「PE_SALITY」も、既に侵入している不正プログラム(その拡張子が「SCR」か「EXE」であるならば)にもファイル感染を行ないます。この結果、既に侵入していたマルウェアは、ファイル感染の影響も相まって、検出および削除がさらに困難となります。「PE_SALITY」は、侵入したコンピュータ内にインストールされているセキュリティソフト関連のプログラムも強制終了し、さらにWindowsファイアウォールやセキュリティ・プラグインといった機能も無効化します。こうして、このウイルスに感染したコンピュータは、ますますオンライン上の脅威に対して無防備となってしまいます。
「PE_VIRUX」の場合:「PE_VIRUX」の亜種の中には、不正な "iframe" コードとしてスクリプトファイルに組み込まれ、感染するウイルスもあります。こうしてファイル感染したスクリプトファイルは、「HTML_IFRAME.NV」として検出されます。そしてこの「HTML_IFRAME.NV」が組み込まれたWebサイトをユーザが閲覧すると、別のリモートサイトにリダイレクトされ、そこから「HTML_EXPLOIT」がダウンロードされることになり、そこからさらなる不正プログラムの感染に見舞われることになります。
「PE_VIRUX」は、IRCサーバにもアクセスし、そこから不正なコマンドや不正なURLの受信も行ないます。受信した不正なURLからは、もちろん他のマルウェアがダウンロードされてくることになります。このようにしてダウンロードされてくるマルウェアの種類は様々ですが、多くの場合、「FAKEAV」ファミリの不正プログラムです。「PE_SALITY」と同様、「PE_VIRUX」も、セキュリティ関連のアプリケーションを強制終了したり、Windowsファイアウォールやセキュリティ・プラグインといった機能も無効化します。
これらのファイル感染型ウイルスは、どのようなファイル感染の手法を用いますか?
ファイル感染の手法は、以下の3種類に分類されますが、「PE_SALITY」や「PE_VIRUX」は、「EPO型」と「追記感染型」を組み合わせてファイル感染を行っています。
- 上書き感染(Overwrite)型:元のプログラムのコードの一部またはすべてを上書きし、破壊して感染を行う。元のファイル情報がなくなってしまうため駆除ができない。
- 追記感染(Appending/Prepending/Cavity)型:元のプログラムを破壊しないようにウイルスが自分のコードを、末尾(Appending)や先頭(Prepending)や余白(Cavity)に追加または挿入して感染を行うもの。ウイルス・コードの実行が終わった後に元のプログラムに制御を返す。
- EPO(Entry Point Obscuring)型:エントリ・ポイントやファイル・ヘッダ情報の変更を行わずにファイル感染を行う。元のプログラムのコードの中にある呼び出しコードを自分のコードを呼び出すように書き換える。
「PE_SALITY」の場合:「EPO(Entry Point Obscuring)型」および「追記感染(Append)型」の組み合わせ。感染対象となるホストファイルのエントリ・ポイントやファイル・ヘッダ情報の変更を行わず、末尾の部分にウイルスのコードが挿入されます。
「PE_VIRUX」の場合:「EPO(Entry Point Obscuring)型」および「追記感染(Append/Cavity)型」の組み合わせ。この場合も、感染対象のファイルのエントリポイントは変更せず、代わりに "JUMP" や "CALL" といった文字列を挿入し、エントリポイントから直ぐに不正コードがある場所へと誘導されるようにしています。
ファイル感染型ウイルスも、情報収集型の不正プログラムと同様、金銭目的のサイバー犯罪に重宝するツールとして利用されてきています。上述のとおり、ファイル感染型ウイルスは、様々な感染経路を介していくつものコンピュータやさらにはネットワークにさえ感染を拡散させていくことができます。また、IRCサーバに接続する機能も備えているため、それを駆使してコンピュータやネットワークが開かれ、(個人情報やその他の機密情報を収集する)他の不正プログラムによるさらなる感染のリスクにも見舞われることになります。
なぜこの攻撃は Noteworthy(要注意)に分類されたのですか?
「PE_SALITY」と「E_VIRUX」は、個人ユーザや企業のどちらも多大な脅威をもたらす要注意のファイル感染型ウイルスだといえます。その理由としては、コンピュータが既に何らかのマルウェアに感染している場合、これらのウイルスは、そのマルウェアに対してもファイル感染を行うということがあげられます。このため、「PE_SALITY」も「E_VIRUX」も、ファイル感染を行なったマルウェアの活動も相まって、それ自体を検出・削除することが非常に困難となります。また、リムーバブルやネットワーク共有フォルダ、脆弱性、インターネットなど様々な感染経路を介して拡散する点も、要注意なウイルスと見なすべき理由となります。感染したネットワーク上のファイルにアクセスするだけでさらなる感染が引き起こされてしまうわけですから。
トレンドマイクロでは、「PE_SALITY」および「PE_VIRUX」に関しては、その「進化するテクノロジー」に注目して監視を続けています。特に「侵入したコンピュータ内のアンチウイルス関連のアプリケーションを強制終了させる手法」や「ネットワークを介して感染を拡大させていく手法」などには注意が必要です。さらに言えば、これらのウイルスが用いる「マルチレイヤーの暗号化機能」も、解析をより困難なものにしている機能であることから、同じく注意が必要だといえます。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を搭載した製品は、「PE_SALITY」および「PE_VIRUX」の全ての亜種やコンポーネントからユーザを守ることができます。その「Webレピュテーション」技術により、改ざんされたWebサイトやマルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。また、ユーザ側も、ご使用のコンピュータおよびそこにインストールされたソフトウェアを常に最新化しておくことをお勧めします。また、リムーバブルドライブの自動起動設定を無効にすることで、マルウェアの自動実行を防ぐことができます。
「ウイルスバスター™ コーポレートエディション 10.5」をご使用のお客様は、「クライアントセルフプロテクション」をご利用ください。この機能の挙動監視モジュールにより、「PE_SALITY」および「PE_VIRUX」の実行を防ぐことができます。また、「デバイス・コントロール」もご利用ください。この機能により、これらのマルウェアがデバイスを経由して感染することを防ぐことができます。さらに検索条件の設定では、「検索可能なすべてのファイル」および「ネットワークドライブの検索」を選択してください。これにより、手動検索時またはリアルタイム検索時に、クライアントコンピュータにマップされたネットワークドライブやフォルダを検索することができます。そして可能であれば「ウイルスバスター™ コーポレートエディション 10.6」へのアップグレードを推奨します。
スレットアナリストのFrancis Saguiguitは、以下のようにコメントしています。
「『PE_VIRUX』や『PE_SALITY』は、あたかも進化する生命体のようであり、その勢いは、かつて有効であった対策などが無駄になってしまうほどです。これらファイル感染型のウイルスは、侵入したコンピュータ上にインストールされているアンチウイルス対策のアプリケーションを強制終了して無防備にしてしまうので、他のマルウェアへの感染のリスクにも晒されます。幸い、トレンドマイクロの製品ならば、『挙動監視モジュール』や『デバイス・コントロール』、『クライアントセルフプロテクション』の機能により、こういった脅威からユーザのコンピュータを守ることができます。『挙動監視モジュール』は、コンピュータへのファイル感染をその挙動から判断して阻止することができます。『デバイス・コントロール』は、ワームやその他の不正プログラムがUSBなどのリムーバブルを介して拡散するのを阻止。そして『クライアントセルフプロテクション』は、コンピュータ上にインストールされているセキュリティソフト関連のアプリケーションが強制終了されるのを防ぐことができます。」
スレット・リスポンス・エンジニアのJessa Dela Torreは、次のようにコメントしています。
「『PE_VIRUX』や『PE_SALITY』は、今後も感染し続けていくでしょう。ペイ・パー・インストール、すなわち、ウイルスがインストールされるごとに報酬がもらえるというインセンティブも働いているからです。これらのウイルスを作成しているサイバー犯罪者たちは、より多くの報酬を得たいという動機からも、ウイルスの機能性向上に取り組んでいるのです。」