トレンドマイクロでは、最近、非常に悪名高い3つの不正プログラムのファミリが増加し、それぞれが互いに連携して1つの攻撃を行なっていることを確認。
トレンドマイクロは、過去数カ月、「QUERVAR」、「RANSOM」および「ZACCESS」が特定の地域で拡散していることを確認しました。QUERVAR は、北米地域、ヨーロッパ/中東/アフリカ地域およびオーストラリア/ニュージーランド地域で広がっているのが確認されており、RANSOM は、ヨーロッパ/中東/アフリカ地域で、「ZACCESS」は、北米地域でまん延してきました。
そして現在、トレンドマイクロでは、3つすべての不正プログラムのファミリが関与する攻撃を確認しています。
QUERVAR の感染拡大が2012年8月に拡大した後、9月の前半には QUERVAR の感染が完全に終息しました。しかし、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の以下の情報を見てみると、数日後には感染が再開しているようです。
これらは、「PE_QUEARVAR.A-O」、「PE_QUEARVAR.B-O」、「PE_QUEARVAR.C-O」および「PE_QUEARVAR.D-O」として検出されます。
|
トレンドマイクロは、2012年9月27日に QUERVAR の新しい亜種を確認しています。この亜種は、同じ感染活動を行うものの、過去に検出された亜種とは異なる新たな構造で作成されています。この感染活動には、通常の実行ファイル、Microsoft Word ファイルや Microsoft Excel ファイルに感染し、ファイルの拡張子を「SCR」への変更といった活動が含まれています。しかし、新しい亜種は、RANSOM および ZACCESS の亜種をダウンロードするという新たなペイロードも備えているのです。
新しい QUERVAR の亜種は、「PE_QUERVAR.E-O」として検出されます。「PE_QUERVAR.E-O」は、以下の不正なファイルにアクセスし、「TROJ_RANSOM.CMY」および「HTML_RANSOM.CMY」として検出される RANSOM、「TROJ_SIREFEF.SZP」として検出される ZACCESS の亜種をダウンロードします。
「TROJ_RANSOM.CMY」は、感染したコンピュータを乗っ取り、以下の画像を表示します。この不正プログラムは、ユーザが著作権法に触れているという FBI からの正規の警告を装っています。その後、この不正プログラムは、コンピュータをロックし、ユーザが操作できないようにします。偽の FBI の警告は、ユーザの IP アドレスを表示することでユーザが監視下に置かれているかのように装います。
|
一方、ZACCESS の亜種は、システムの変更をユーザに気づかせないようにするルートキット機能を備える不正プログラムです。具体的に、ダウンロードされるファイル(「TROJ_SIREFEF.SZP」として検出)の場合は、”services.exe” を更新し、32bit および 64bit いずれのプラットフォーム上での検出を回避します。また、この亜種は、Windows のセキュリティ関連のサービスを無効または終了する機能も備えています。この技術については、過去の記事でも詳しく紹介しています。
・ファイル感染型ウイルス「QUERVAR」、ヨーロッパで感染拡大
/archives/5738
・新たな感染手法を利用する「ZACCESS」ファミリ、世界各国で感染拡大
/archives/5777
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、この脅威から守られています。特に、「Webレピュテーション」技術は、「PE_QUERVAR.E-O」がダウンロードされる可能性のあるWebサイトへのアクセスをブロックし、「ファイルレピュテーション」技術は、関連する不正なファイルを検出、削除することができます。
参考記事:
by Jocelyn Racoma (Threat Analyst)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)