米Appleが提供するメディアプレーヤ「QuickTime Player」(バージョン 7.6.6)は、動画ファイル再生の際、Webサイトへ自動的に接続しファイルをダウンロードする機能を備えています。今回、サイバー犯罪者は、この機能を利用し、悪意のあるWebサイトからユーザのコンピュータへ不正プログラムをダウンロードしようとしたようです。
「TrendLabs(トレンドラボ)」の研究員Benson Syは、以下の2つの動画ファイル(拡張子MOV)を確認しました。
- ・salt dvdrpi [btjunkie][xtrancex].mov
- ・001 Dvdrip Salt.mov
この2つのファイルは、米女優アンジェリーナ・ジョリー主演の最新映画「ソルト(Salt)」に見せかけており、トレンドマイクロ製品では、「TROJ_QUICKTM.A」として検出します。これらのファイルは、通常の映画ファイルより比較的容量が小さいため、疑わしいファイルとして容易に見分けることができます。
これらのMOVファイルがQuickTime Playerに読み込まれても、何の画像も表示されず、その代わりに、「コーデックの更新」または「他のプレーヤのインストール」を促すメッセージとダイアログボックスが表示されます。
上述のMOVファイルの1つ “salt dvdrpi [btjunkie][xtrancex].mov” は、以下のWebサイトにアクセスします。
- ・http://<省略>.<省略>.53.196/stat1/pix1.php
その後、ユーザを以下のWebサイトに誘導します。
- ・http://<省略>.<省略>.8.120/cms/976/1/QuickTime_Update_KB640110.exe
そして、ユーザに、このWebサイトからファイルをダウンロードし、保存または実行するように促します。トレンドマイクロ製品では、このダウンロードされるファイルを「TROJ_TRACUR.SMDI」として検出します。
 |
| 図1:”salt dvdrpi [btjunkie][xtrancex].mov” が表示するダイアログボックス |
一方、もう1つのMOVファイル “001 Dvdrip Salt.mov” は、以下のWebサイトにアクセスします。
- ・http://play.<省略>nstaller.com/0.c
その後、ユーザを以下のWebサイトに誘導します。
- ・http://player.<省略>nstaller.com/d77.php
そして、1つ目のファイルと同様、ユーザに、このWebサイトからファイルをダウンロードし、保存または実行するように促します。トレンドマイクロ製品では、このダウンロードされるファイルを「TROJ_DLOAD.QWK」として検出します。
 |
| 図2:”001 Dvdrip Salt.mov” が表示するダイアログボックス |
「TROJ_DLOAD.QWK」が実行されると、CABファイル(主にMicrosoft Windowsで用いられるデータ圧縮のファイル形式)をダウンロードします。このCABファイルは、「Tango Toolbar」というツールバーおよびそのコンポーネントをインストールします。また、このCABファイルは、「TROJ_DLOADR.TAN」および「TROJ_DLOADR.GAB」として検出される不正プログラムも含んでいます。
なお、Appleは、「TROJ_QUICKTM.Aとして検出される上述の2つのMOVファイルは、QuickTime Playerに存在する脆弱性を悪用しない」との見解を表明しています。同社によれば、今回の攻撃は、「人気映画のタイトルを用いてユーザの興味を引き、不正な動画ファイルを閲覧させウイルス感染につなげるという、ソーシャルエンジニアリングの手法による攻撃」であり、「デンマークのセキュリティ企業Secuniaが報告したQuickTime Playerの脆弱性とは関係ない」とのことです。
「TROJ_QUICKTM.A」として検出される上述の2つのMOVファイルは、QuickTimeの特徴の1つである「wired actions」機能を悪用しているようです。このwired actions機能により、QuickTimeのファイルは、特定の働きを実行することができるようになり、今回の事例では、「特定のURLへのアクセス」が行われました。この機能は、2010年4月中旬に悪用が確認された、PDFファイルの「Launch機能」と類似しています。
しかし、wired actions機能は、QuickTimeのファイルを再生することができるメディアプレーヤすべてに実装されているわけではないようです。VideoLANプロジェクトにより開発されたメディアプレーヤ「VLCメディアプレーヤ」で確認したところ、このプレーヤにwired actions機能は実装されていませんでした。
トレンドマイクロの製品ご利用のユーザは、クラウド型技術と連携した相関分析により、今回の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「Web レピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、不正なファイルがダウンロードされるのを防ぎます。
「QuickTime Player Allows Movie Files to Trigger Malware Download」より
July 30, 2010 Marco Dela Vega
|
翻訳: 橋元 紀美加(Technical Communications Specialist, TrendLabs)