一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は23日、主に標的型攻撃で使われ、ショートカットファイルから感染するマルウェア「Asruex」に注意を喚起した。
Asruexはリモート操作機能を持ったマルウェア。JPCERT/CCでは、2015年10月頃から不正なショートカットファイルが添付されたメールが、宛先の組織を絞り込んで送信されていることを確認しているという。
|
Asruexが感染するまでの流れ(図:JPCERT/CC) |
ショートカットファイルを開くと、指定のwebページからファイルがダウンロードされ、バッチファイルとして保存、実行される。バッチファイルにはコマンドが含まれており、次にWindows実行ファイル(ダウンローダ)とダミー表示用文書が外部からダウンロードされる。
上記のダウンローダが実行されると、JPG/GIF画像をダウンロードする。画像ファイルには、XORでエンコードされたAsruexが仕込まれており、ダウンローダはデータをデコードしてAsruexを実行する。
Asruexは、特定のサイトとHTTPで通信し、C&Cサーバ(感染PCの制御や命令発信を担うサーバ)から受信した命令を実行。感染端末の情報収集や、プロセスやファイル、フォルダの一覧取得、アンインストールといったコマンドを受信し、実行する可能性がある。中にはAsruexの拡張用プラグインAdvProv.dllをダウンロードし、ファイルのコピーやレジストリエントリの確認、作成削除といったより高度な機能を持つこともある。
|
エンコードされたAsruexが含まれた画像ファイル(図:JPCERT/CC) |
JPCERT/CCでは、Asruexに関し「2015年10月頃から確認されるようになった比較的新しい種類のマルウエア。今後もAsruexを利用した標的型攻撃が行われる可能性があるため、注意が必要」と呼びかけている。
