ワームの「VOBFUS」ファミリは、ダウンロード機能を備えていることや感染活動を行うことで知られています。以下の図1にもあるように、このファミリの亜種は増加傾向にあり、それに伴ってその名も知られるようになってきました。このワームは、リムーバブルドライブを介して感染活動を行いますが、その際にWindows 自動実行の機能を利用します。また、このワームは、ショートカットファイルの脆弱性の脆弱性を利用するものもあります。さらに、「ZBOT」ファミリなどのよく知られたマルウェアのように、「判読不能なコードの追加」や「新しい亜種を生成するためにコードの改変」といったこのワームを多様に変化させる機能を備えているのです。


図1:2011年1月~7月中に確認した「WORM_VOBFUS」の亜種の推移

以下は、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」へのフィードバックによる、2012年11月23日から11月26日の間の「WORM_VOBFUS」関連のワームの感染数を示したものです。


図2:2012年11月23日~11月26日における「WORM_VOBFUS」の感染数

WORM_VOBFUS」は、どのようにしてコンピュータに侵入しますか?

WORM_VOBFUS」は、他の不正プログラムに作成もしくはダウンロードされるか、または悪意のあるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。また、リムーバブルドライブを介して侵入する場合もあります。

また、「WORM_VOBFUS」は、ソーシャル・ネットワーキング・サービス(SNS)、特に「Facebook」上で拡散していることが確認されており、各亜種は、アダルトコンテンツを示唆するファイル名を利用しているようです。


WORM_VOBFUS」は、どのようにして感染を拡げますか?

WORM_VOBFUS」は、感染コンピュータに接続されているすべてのリムーバブルドライブ内に自身のコピーを作成することにより感染を拡げます。また、このワームは、"AUTORUN.INF" ファイルおよび拡張子LNKのショートカットファイルを作成します。これらの作成したファイルを利用することにより、作成したコピーの実行が可能になります。通常、これらのLNKファイルには、以下のファイル名が用いられます。
  • Documents.lnk
  • Music.lnk
  • New Folder.lnk
  • Passwords.lnk
  • Pictures.lnk
  • Video.lnk

上記からも分かるとおり、これらのファイル名には、ランダムな文字列ではなく、Windowsの既定のファイル名が使用されています。これにより、ユーザは悪意のあるLNKファイルの存在に気づきにくくなります。「WORM_VOBFUS」の亜種(「WORM_VOBFUS.AI」など)には、Windowsのショートカットファイルの脆弱性を利用するものもあります。この脆弱性は、原子力発電所の制御システムを攻撃するマルウェアとして2010年7月に話題になった「STUXNET」にも利用されています。このワームは、感染コンピュータに接続されたリムーバブルドライブ内に以下のファイルを作成し、この脆弱性を悪用します。
  • z<ランダムな文字列>.lnk
  • xxx.dll

また、「WORM_VOBFUS」は、既に存在するフォルダ名やファイル名を用い、正規のファイルやフォルダであるかのように装い、これらの作成したファイルが実行されるようにします。このようなファイルのいくつかは、以下の拡張子名を用います。
  • avi
  • bmp
  • doc
  • gif
  • jpeg
  • jpg
  • mp3
  • mp4
  • mpg
  • pdf
  • png
  • tif
  • txt
  • wav
  • wma
  • wmv
  • xls

さらに、「WORM_VOBFUS」は、感染したフォルダを隠しフォルダおよびシステム属性に変更し、検出および削除を避けます。

WORM_VOBFUS」は、どのような攻撃をユーザに仕掛けますか?

WORM_VOBFUS」は、実行されると、感染コンピュータ内に自身のコピーを "User Profile\<ランダムなファイル名>.exe" として作成します。そして、このワームは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。また、このワームは、Webサイトにアクセスし、不正リモートユーザからのコマンドを待機します。これにより、ユーザのコンピュータのセキュリティが脅かされることとなります。

感染コンピュータと不正リモートサーバが通信する際、不正リモートサーバは、通常、URLを含むパケットを送信します。このURLは、「WORM_VOBFUS」がファイルをダウンロードするためにアクセスするWebサイトのURLです。そして、ダウンロードされたファイルも感染コンピュータ上で実行されます。

また、「WORM_VOBFUS」は、特定の「アプリケーション・プログラミング・インタフェース(API)」をフックし、"タスクマネージャ" プロセスエクスプローラ" などのアプリケーションにより、自身の不正活動が強制終了されるのを防ぎます。

WORM_VOBFUS」は、ファイルをダウンロードするためにどのURLにアクセスしますか?

WORM_VOBFUS」は、実行されると、以下のサーバのいずれかに接続します。
  • server.<省略>et.com
  • ns3.<省略>geparlour.net
  • ns4.<省略>chhere.netnet
  • ns2.<省略>turehut.net
  • ns1.<省略>1253.com
  • ns1.<省略>ll.net
  • ns1.<省略>ll.org
  • ns1.<省略>hares.org

そして、上記のサーバは、以下のURLを返信します。このワームは、以下のURLにアクセスしてファイルをダウンロードします。
  • counterstrike.<省略>ain24.com:992/data/a
  • counterstrike.<省略>ain24.com:992/data/c
  • counterstrike.<省略>ain24.com:992/data/d
  • <省略>udio.co.cc:992/data/a
  • <省略>s.chello.pl/i.lemecha/index.png
  • <省略>res.org:992/data/a
  • <省略>res.org:992/data/c
  • <省略>res.org:992/data/d
  • <省略>res.org:999//ggg/a
  • <省略>res.org:999//ggg/c
  • vids.<省略>razy.cx.cc:992/data/a
  • www.<省略>g.org:992/data/a

WORM_VOBFUS」は、どのような影響をユーザに与えますか?

WORM_VOBFUS」は、ファイル感染型ウイルス「VIRUX」や、偽セキュリティソフト型マルウェア「FAKEAV」などを感染コンピュータにダウンロードするダウンローダとしての役割を果たします。これらのウイルスやマルウェアに感染すると、ユーザは、サイバー犯罪者に個人情報を収集されてしまう危険性があります。サイバー犯罪者は、ユーザに気付かれることなく不正活動を実行し、感染したコンピュータから情報を送受信することができます。また、収集された情報は、サイバー犯罪者が別の攻撃を仕掛ける際に利用される可能性もあります。

サイバー犯罪者は、「WORM_VOBFUS」を利用して既にこのワームが侵入しているコンピュータに他のマルウェアをインストールし、これらのコンピュータを一定期間、使用不可能な状態に陥らせることも可能です。企業がこの影響を受けた場合、業務の運営に支障を来し、収益の損失につながる恐れもあります。

なぜこの攻撃は Noteworthy(要注意)に分類されたのですか?

要注意に分類された理由として、まず、「WORM_VOBFUS」は、簡単に新たな亜種を作成できることが挙げられます。これは、既存するこのワームのコードに判読不能なコードを追加することで、ハッシュ関数「MD5」が変更され、新しい亜種となります。また、このワームは、他のマルウェアをダウンロードする機能を備えていることから、既にこのワームに感染しているコンピュータ上でさらなる不正活動が展開され、ユーザに深刻なリスクが及ぶことになります。また、このワームがコードに難読化の技術を施し、自身の検出および削除を避けることも要注意に分類された1つの理由です。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術は、「WORM_VOBFUS」および関連する不正なコンポーネントがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。ユーザは、セキュリティソフトをインストールし常に最新の状態に保つとともに、Windowsの自動実行の機能を無効にすることをお勧めします。

スレット・レスポンス・エンジニア Jessa Dela Torre は、以下のようにコメントしています。

「『WORM_VOBFUS』は、要注意です。なぜなら、このワームは、簡単に多様な亜種を作成することができるからです。サイバー犯罪者は、こうして作成された亜種を利用して、既にこのワームに感染したコンピュータ内に別のマルウェアをダウンロードさせることが可能です。これにより、ユーザは、個人情報を失うだけでなく金銭的な損失に見舞われるリスクにもさらされることになります。」