「TrendLabs(トレンドラボ)」では、2012年5月上旬、Facebook上の個人宛メッセージでリンクが配布されているという報告を入手。問題のリンクは、圧縮ファイル “May09-Picture18.JPG_www.facebook.com.zip” をダウンロードさせる短縮URLです。この圧縮ファイルには、”May09-Picture18.JPG_www.facebook.com” という名の不正なファイルが含まれています。
 |
|
|
この不正プログラム(「WORM_STECKCT.EVL」として検出)は、実行されると、セキュリティソフトに関連するサービスおよびプロセスを終了します。この結果、セキュリティソフトの機能が無効になり、このワームの検出または駆除が回避されることとなります。また、「WORM_STECKCT.EVL」は、特定のWebサイトにアクセスし、情報の送受信も行います。
この他に注目すべき不正活動は、このワームの機能により、別のワームのダウンロードおよび実行が行われるという点です。ダウンロードされるワームの1つは、「WORM_EBOOM.AC」として検出されます。「WORM_EBOOM.AC」を解析したところ、このワームは、以下のSNS上で「投稿するメッセージ」、「削除された投稿済みメッセージ」および「送信した個人宛メッセージ」などのユーザのインターネット活動を監視する機能を備えていることが判明しました。
また、このワームは、上述のWebサイトを利用し、自身のコピーへと誘導するリンクを含むメッセージを投稿することで感染活動を行う機能も備えています。
Facebook およびインスタントメッセンジャ(IM)アプリケーションは、情報の共有や連絡を取り合うためのツールです。サイバー犯罪者がこれらのツールを利用することは目新しいことではありませんが、この手口の被害にあってしまうユーザがいることも確かです。ユーザは、細心の注意を払い、インターネットをご利用ください。特に、ソーシャルメディアをご利用の場合、慎重な対応が求められています。
また、トレンドマイクロと Facebook は、2012年4月25日(米国時間)にパートナーシップを結んだと発表したとおり、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を介して不正なリンクに関連するアクセスをブロックすることでユーザを保護します。また、Trend Micro Smart Protection Network を構成する主要技術の「ファイルレピュテーション」技術により、「WORM_STECKCT.EVL」および「WORM_EBOOM.AC」の検出および削除を行います。
参考記事:
by Cris Pantanilla (Threat Response Engineer)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)