パスワード保護(暗号化)されたZIPファイル経由で拡散するTROJ_PAKESファミリ

 10月2日、トロイの木馬「TROJ_PAKES」(ペークス)ファミリのメールによる拡散を確認いたしましたのでご注意ください。

 「TROJ_PAKES.AXQ」はスパムメール(迷惑メール)の添付ファイルとして侵入することを確認しています。ウイルスである添付ファイル「doc.zip」は、自身を圧縮形式の1つであるZIP形式にて圧縮するとともに、パスワード保護(暗号化)を施しています。メール本文中には暗号化を解除するパスワードが記載されており、利用者はそのパスワードを入力することでウイルスファイル「doc.exe」を開くことができます。

 被害報告は、日本をはじめ、ヨーロッパ諸国、フランス、スペイン、カナダ、アメリカなど複数の国から寄せられています。

図1. 国内で確認された「TROJ_PAKES.ZIP」が添付されたスパムメールの一例
図1. 国内で確認された「TROJ_PAKES.ZIP」が添付されたスパムメールの一例
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。

 スパムメールにて使用される件名の一部は次のとおりです。

    Important document for 49

 メール本文には、ZIPファイルを展開する為の3桁のパスワードとともに、「Hello 49, the document is attached. Password:123.」などの文章が含まれていることを確認しています。

 「TROJ_PAKES.AXQ」は発症すると、トロイの木馬型スパイウェア「TSPY_GOLDUN.RF」とルートキット「TROJ_ROOTKIT.BA」を作成し実行します。実行後不正プログラムは自身を削除し、その存在を隠しながら、不正活動を続けます。

図2. ルートキットバスターによる「TROJ_ROOTKIT.BA」検出画面
図2. ルートキットバスターによる「TROJ_ROOTKIT.BA」検出画面

 攻撃者はゲートウェイに配置されたウイルス対策製品の検出を逃れるべく、ZIP形式にてパスワード保護を実施していると推定されます。このようなウイルス検出回避テクニックは常套手段の一つです。2004年3月に確認された「WORM_BAGLE」ファミリにおいても悪用されています。

 しかし、トレンドマイクロのウイルス対策製品では、パスワード保護された状態の「TROJ_PAKES.AXQ」を「TROJ_PAKES.ZIP」の検出名にてパターンマッチングを行うことで、トロイの木馬がエンドポイント(利用者のPC)に届く前に検出を行い、ウイルスの脅威から保護することが可能です。

 また、「TROJ_PAKES.ZIP」が添付されたスパムメールそのものも、Trend Micro Anti-Spam Engineによってスパムメール判定が行われます。

 「Defense in Depth(階層的防御)」。1つの検出手法(層)のみで100%の安全性を確保することは現実的に考えて不可能と言えます。また、1つの層では、仮に突破された場合に直ちに手遅れとなります。トレンドマイクロでは、ウイルス対策技術のみならず、複数の方法を重ね合わせて多層化する階層的防御の考え方で、デジタル情報資産を安全に交換できる社会を目指していきます。

■関連情報

* 参考情報1. 製品Q&A:2064242「ALL:悪意あるプログラムファイルをパスワード保護されたファイルとして添付するスパムメールに対する対策方法