複数の機能を備える「URSNIF」、ファイル感染機能を追加

「URSNIF」は、もとより情報を収集する不正プログラムとして周知されていましたが、さまざまな機能を備えていることでも知られ、例えば、バックドア型不正プログラム「BKDR_URSNIF.SM」や情報窃取型不正プログラム「TSPY_URSNIF.YNJ」、が「URSNIF」の亜種として挙げられます。そして2014年末、ファイル感染機能を追加した「PE_URSNIF.A-O」が確認されました。

■2014年12月:ファイル感染活動による「URSNIF」の感染増加
トレンドマイクロは、2014年12月、主に北米で発生した「URSNIF」の感染増加についてブログ記事で取り上げましたが、これは「URSNIF」の不正活動にファイル感染活動が追加されたことに起因する増加だといえます。

このファイル感染活動では、不正なコードを標的としたファイルに組み込み、更新するといった典型的な手法ではなく、ファイルを自身のリソースに組み込む手法が採用されていました。このファイル感染活動を備えた「URSNIF」の亜種は、以下のファイルを標的としていました。

■2015年2月:別の「URSNIF」の急増を確認
2015年2月の「URSNIF」の急増では、感染対象を拡大させ、隠ぺい機能が改良されていたことも判明しました。この際に確認された「URSNIF」の亜種は、「PE_URSNIF.B-O」および「PE_URSNIF.B」として検出されます。

隠ぺい機能では、正規のシステムファイルのプロパティで使用されているファイル名やフォルダ名やレジストリ値と類似した文字列を借用するという手法が採られていました。これにより、自身を他の正規のシステムファイルへ隠ぺいさせます。例えば、正規のシステムファイルのファミリ名を組み合わせる方法としては、正規のファイル名 ”cmdl32.exe” と ”rwinsta.exe” を組み合わせて ”cmdlnsta.exe” というファイル名を自身のファミリ名に使用します。なお、「URSNIF」によるこの隠ぺい手法は、ファイル感染活動を備えた亜種が登場する前から、弊社では確認していました。

また、ファイル感染の際、自身のコードは、標的にしたプロセスごとに別々に組み込まれます。恐らくメモリスキャンを回避するためだと思われます。なお、2月の急増で「URSNIF」が利用したハードコード化の文字列は、昨年12月の急増で確認された亜種のものと同じであることも確認しています。

■2015年3月:より多くの種類のファイルに感染する「URSNIF」を確認
今月確認された「URSNIF」の亜種(「PE_URSNIF.E-O」、「PE_URSNIF.E」として検出)は、感染対象のファイルをさらに拡大させており、Microsoft Office 文書ファイルや表計算ファイル、プレゼンテーション用ファイルなど、より多くの種類のファイルに感染します。また、先述の亜種と同じく、隠ぺい活動にシステムファイルの文字列を借用しており、自身が作成したファミリ名に既存のフォルダ名を用いて、ユーザを欺こうとしていました。なお、今回の亜種の場合、借用元のフォルダが隠されていないため、それほど効果はないようです。

以下の表は、最近確認された「URSNIF」の亜種を比較したものです。

ファイル感染型ウイルス
それ以前 2014年12月 2015年2月 2015年3月
感染対象のファイル None *.PDT, *.MSI, *SETUP*.EXE *.PDF, *.MSI, *.EXE *.PDF, *.MSI, *.EXE, *.PPT, *.PPTX, *.DOC, *.DOCX, *.XLS, *.XLSX
リムーバブルドライブ内の名前を利用して拡散する None Temp.exe Temp.exe {Folder Name}.exe
ファイル名にランダムな文字列を利用する Yes No Yes Yes
別々に不正なコードを組み込む No No Yes No
ポリモーフィック型 No Yes Yes Yes

■「URSNIF」のフック機能
「URSNIF」は、ブラウザを監視するためにさまざまな実行ファイルをフックすることでも、従来から知られていました。例えば、Google Chrome を監視するため、 ”WS2_32.DLL” および ”KERNEL32.DLL”、もしくは ”CHROME.DLL” をフックします。Mozilla Firefox の監視には、”NSS3.DLL” および ”NSPR4.DLL”をフックし、 Internet Explorer(IE)の監視には、”WININET.DLL” をフックします。さらに、Opera や Safari などのブラウザも監視します。

また、最近確認された「URSNIF」の亜種は、長年フックされているシステムAPI も大幅に変更します。これらの API をフックすることで、複数の標準コマンドに含まれている情報を傍受し、スクリーンショットの取得など、さまざまな情報を収集できます。つまり、API のフックにより、効果的な情報収集が可能となります。以下は、フックされる API の一覧です。

2012-2013 2013-2014 2014-2015
InternetReadFile InternetReadFile HttpOpenRequestA
InternetReadFileExA InternetReadFileExA HttpOpenRequestW
InternetReadFileExW InternetReadFileExW HttpSendRequestA
HttpSendRequestA HttpSendRequestA HttpSendRequestW
HttpSendRequestW HttpSendRequestW HttpQueryInfoA
HttpOpenRequestA HttpQueryInfoA HttpQueryInfoW
HttpOpenRequestW HttpQueryInfoW InternetReadFile
InternetConnectA HttpAddRequestHeadersA InternetReadFileExA
InternetConnectW HttpAddRequestHeadersW InternetReadFileExW
InternetQueryDataAvailable InternetConnectA InternetQueryDataAvailable
InternetConnectW PR_Read
InternetQueryDataAvailable PR_Write
PR_Read PR_Close
PR_Write PR_Poll
PR_Close PR_Available
WSARecv LoadLibraryA
WSASend LoadLibraryW
Closesocket LoadLibraryExA
LoadLibraryExW LoadLibraryExW
ssl_write
ssl_read
ssl_close

「URSNIF」は、ここ数カ月、絶えず改良される中、さまざまな特徴を見せ、多種多様な不正活動を実行しています。こうした傾向が収まる兆候は見られず、「URSNIF」は、引き続きさまざまな領域でユーザにとっての大きなリスクとなるため、細心の注意が必要です。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)