「クリックしないとデータを消すよ」 日本語で警告する不正プログラム

日本のユーザを標的にしたターゲット型(標的型)攻撃や、日本語表記の偽セキュリティソフトはその存在を数多く確認しています。新たな攻撃例の1つとして、2011年2月、リージョナルトレンドラボが確認した日本語を用いた不正プログラムを紹介します。


トレンドマイクロは、全世界の脅威情報を集約して対策技術を提供する「TrendLabs(トレンドラボ)」と、地域に密着して脅威情報の収集を行うリージョナルトレンドラボを計12ヶ所に設置し、24時間体制でインターネットの脅威動向を監視しています。

2007年に東京本社内で稼働開始した日本のリージョナルトレンドラボでは、2011年2月に新たな不正プログラムの検体を確認しました。特徴的な日本語の警告画面が出るこの不正プログラムを今日は画像を交えて解説してみましょう。

■「Skype」を装ったアイコンで侵入
「SkypeStartUp0.exe」というファイル名で、インターネット電話ツールの「Skype」のインストールモジュールを装って PC内に侵入します(図1参照)。侵入経路は Webサイトからのダウンロード、もしくは感染ユーザによるメール添付による配布などが考えられます。

このモジュールをユーザが実行すると、「起動中」というタイトルで図2 のような脅迫文が表示されます。

図1:「Skype」を装ったアイコン
図1:「Skype」を装ったアイコン

図2:表示される脅迫文
図2:表示される脅迫文

脅迫文:
←をクリックしないとパソコンのデータ全部消すよ
後、データ削除と一緒に個人情報も全て公開するね
インターネットのページが開くまでクリックだよ?もちろんわかってるよね・・・?
後、このウィルスを他の人(50人)に感染させたら特別に、ウィルスを駆除してあげるね。(後50人)

脅迫文の横に表示されているのは実在する Webサイトへのリンクであり、ユーザにクリックさせることで最終的にはアフィリエイト収入を得ることを目的にしていると推測されます。

ユーザが「閉じる」ボタンをクリックし閉じようとすると、図3 のように「本当の本当に閉じるの?」というメッセージが表示されます。

図3:閉じようとすると表示される画面
図3:閉じようとすると表示される画面

そして「はい」「いいえ」のいずれを押してもウィンドウは閉じられますが、プロセスは常駐していることを確認しました。

しかし、多くの不正プログラムに見られるスタートアップへの登録やファイルの作成、レジストリの変更といった活動は行わず、再起動すると終了します。

つまり、脅迫しているようにデータの削除や個人情報の公開といった不正活動は行われません。

■「Yahoo!」を装ったアイコンで侵入する事例も確認
また、同時期に類似した不正プログラムを確認しました。

こちらは大手ポータルサイト「Yahoo!」のメールサービス「Yahoo!メール」用のアプリケーションを思わせるファイル名「YahooMail0.exe」という名称で侵入します(図4参照)。

図4:「Yahoo!」を装ったアイコン
図4:「Yahoo!」を装ったアイコン

このアイコンをユーザが実行すると、「しばらくお待ちください」という画面を表示、ウィンドウ内では外部のサイトへ接続し、広告を表示します(図5参照)。

図5:表示された広告画面
図5:表示された広告画面

こちらは先ほどの「Skype」のように脅迫文を表示しませんが、閉じようとすると図6 のように「本当に閉じますか?」という画面が表示され、「はい」「いいえ」どちらを選んでもウィンドウが閉じ、プロセスは常駐したまま残る、ファイル作成やレジストリ作成は行わない、という活動は共通しています。

図6:閉じようとすると表示される画面
図6:閉じようとすると表示される画面

これらの不正プログラムは、それぞれ閉じる際に表示される警告画面のタイトルに出ている「TTSneo」という名称の、日本語で簡単にプログラムが作成できるプログラミング言語によって作成されていると考えられます(TTSneo自体は不正な目的で作成されているものではなく、”TTSneoを使用して作成されたプログラム=危険性を含む”、ということではありません)。

リージョナルトレンドラボによる解析では、作者のプログラミング能力はさほど高くないと推測されますが、最終的にアフィリエイトサイトへ誘導している点から金銭的な利得を目的としている点は明らかで、今後、より巧妙なプログラムが登場する可能性も否定しきれません。

トレンドマイクロ製品ではこれらの不正プログラムを「TROJ_VB.IAS」として検出対応しており、「Trend Micro Smart Protection Network」の「スマートフィードバック」では 2011年2月以降、日本国内で 20件の検出を確認しています。新種の不正プログラムなどによって同様の事態が発生した場合は、偽セキュリティソフトなどと同様に、焦らず落ち着いて対処してください。

【追記】

2011/03/10 20:17 本文中にて「TROJ_VB.IAS」として紹介していた不正プログラムは「TSPY_KEYLOG.AG」に改称しました。「TSPY_KEYLOG.AG」は複数の検体に対する検出名のため、本記事の内容と一部動作が異なる場合があります。