前回の話をまとめると…
感染端末のプロファイリングはなぜ、必要なのだろうか? 処理から考えられる理由は、次のようなことではないかと推察される。
- 特定の言語を使用する利用者の端末には感染しない
- 特定のマルウェアに既に感染している端末に、さらに感染しない
- 特定の情報セキュリティ対策サイトを閲覧するような「感染察知行動」または「情報セキュリティに知見がありそうな利用者の行動」があった場合は停止する
1と2に関しては、マルウェアの作成/頒布の目的が金銭となっているため、ある特定地域の利用者を感染対象から排除する、といったことは十分に考えられる。つまり、通貨価値の高い国の「より儲かりそうな利用者の端末」を狙っている可能性がある、と思われる。
3に関しては非常に興味深いところだと思う。特定の情報セキュリティ対策サイトを閲覧するといった行動があったとして、それは感染活動を止めるほどの理由となりうるのだろうか? それとも「より長く感染を継続させるために、利用者を選択している」とでもいうのだろうか? この点に関しては、もう少し調査の余地がありそうだ。
主要な動作
ここから先は、もはやウイルス対策ソフトベンダなどの情報セキュリティ関連サイトによって既報のものとなっている。そう、この検体はニセのウイルス対策ソフトをダウンロードし、利用者に購入を促すというものである。これら一連の迷惑メールを通じた、偽ウイルス対策ソフトの実態については、トレンドマイクロのBlogが詳しい。
- マルウェアスパム侵入後: アンジェリーナ・ジョリーを開いたつもりが偽セキュリティソフト
- Internet Explorer 7.0のアップデートを偽ったスパムメール
- 相次ぐニュースねつ造スパムメール、今度はMSNBCを詐称
- 攻撃手法の変遷を追跡: 有名人ゴシップスパムメール
主要な動作や他の亜種などについては、リンク先のエントリを参照いただきたい。本稿では、それ以外の部分についてさらに光を当ててみることにする。
システム復元ポイントの削除と作成
Windows XPには「システムの復元」と呼ばれる機能が実装されている。これを使用することで、主要なシステムファイルと一部のプログラムファイルを保存しておき、PCを以前の状態に戻すことができるというものである。したがって、この機能を使用することで、直近で作業していた文書などのデータをあきらめさえすれば、うまくマルウェア感染からの復旧を実現できる場合もあった。
しかし、今回分析対象としたマルウェアにおいては、これを阻止する手段が実装されている。具体的には、以下の図のようなVBScriptを1次フォルダ内に作成して実行することで、このことを実現している。
このようなVBScriptを実行することで、システムの復元ポイントをすべて削除したのちに、マルウェアに感染した状態を復元ポイント「Last good restore point」として作成してしまう。このため、ひとたびこの手段を使ってくるマルウェアに感染した場合は、システムの復元を使用した復旧はあきらめざるを得ないのである。
まとめ
前述のトレンドマイクロのBlogによると、迷惑メールを通じたマルウェア感染行為は、国内においても感染報告があるという。このため、英文とはいえ決して看過できない類のマルウェア感染活動であるといえよう。そういった理由から、今回はそのマルウェアの実態に迫ってみた。
ちなみに、別の方面からの観測状況として、セキュリティ研究者であるDancho Danchev氏のBlogによると、今回の一連の活動は悪のホスティングサービス事業者のインフラを使用して、マルウェアのホスティングが行われているという。つまり、こうした偽ウイルス対策ソフトを販売する組織などが、その目的を果たすために利用できる有償のサービスがある、ということだ。
ただ、残念なことにそのような傍証は、インターネットを通じて豊富に入手可能な一方で、確証を得られるものはない。ただし、そのような活動を継続的に追跡することはより多くの被害者を生まないという観点から必要であり、とくにWebを通じたダウンロードがキーファクターとなっていることから、そうしたURLやIPアドレスを補足していくことの重要性が高まるだろう。