| 先日、トロイの木馬型不正プログラム「Bohu」がメディアの注目を集めました 。「Bohu」ファミリは、中国語圏での流行がたびたび確認されている、コーデックを装うトロイの木馬型不正プログラム(Fake-codec Trojan)です。 |
トレンドマイクロでは、動画再生ソフトを装う「Bohu」の亜種を確認し、「TROJ_FKEPLAYR.CH」として検出対応しました。この「TROJ_FKEPLAYR.CH」は「TROJ_GORIADU.SMC」、「TROJ_GORIADU.SMM」、および「TROJ_GORIADU.SMX」といった別の不正プログラムを作成します。これら「Goriadu」ファミリは、通常、ネットワークの通信を阻害する際に利用されており、今回この攻撃においては特定のセキュリティ製品のクラウドと連携する機能に関連するネットワーク通信をブロックしていました。
このうち、「TROJ_GORIADU.SMM」が侵入したコンピュータのネットワーク通信を阻害する「張本人」であり、標的とされたのは中国語圏で利用されている複数のセキュリティソフト と推測されています。トレンドマイクロの製品および関連するURLは、この攻撃において標的とされた製品およびURLのリストの中には含まれていませんでした。
 |
|
|
過去、セキュリティ企業に関連するURLへの接続をブロックする機能を備えている不正プログラムが何度も確認されています。しかし、それらの不正プログラムは、URLを全く選別せずにブロックしました。例えば、「trendmicro」などの文字列が含まれるページすべてが閲覧できなくなりました。これにより不正プログラムの情報を調べることや、オンラインスキャンを行わせないことを目的としていたのです。
一方、「TROJ_GORIADU.SMM」は、各製品がクラウド機能で使用する特定のサーバおよびWebページのみをブロックし、標的とする特定のクラウドの機能を確実にブロックします。特定のURLへの接続のみを阻止することで、不正プログラムが標的とするセキュリティ製品のWebサイトにはアクセスできるにも関わらず、該当製品のクラウド機能のみを利用不能とすることが可能となったのです。
トレンドマイクロでは、現在、さらなる解析を実施しています。検出を避けようとする特有のふるまい(判読不可能なコードの追記やセキュリティソフト関連のWebサイトや関連するサービスへのアクセスブロック)は、決して前例がないというわけではありません。しかし、今回の攻撃により、URLやファイルといったすべてのレベルにおいてコンピュータを保護することの重要性が明確になったといえるでしょう。
参考記事:
「Malware Targets Security Software in China and Taiwan」
by Alden Baleva (Threat Response Engineer)
翻訳・編集:境田 英昭(Core Technology Marketing, TrendLabs)
【訂正と追記】
| 2011/01/26 | 15:05 | 冒頭の不正プログラムファミリの名称に誤りがありました。 お詫びするとともに、下記のとおり訂正いたします。 誤:Bofu 正:Bohu |