<コラム>USBワームが作成する「Autorun.inf」の分析とその傾向

 トレンドマイクロでは過去数度に渡りUSBワームの脅威と現状について言及してきましたが、現時点でもUSBワームの感染報告は留まることなく、一定の推移で継続し続けています。

 2007年の感染報告以降、急激にその種類が増加している事を考えると、USB機器経由での感染経路に一定の効果があることが、ウイルス作者にも広く急速に浸透した事がうかがい知れます。

 今回は、「Webからの脅威」と並び非常に効果的な感染経路の一つとして利用され続けるUSBワーム、および「Autorun.inf」について、従来とは異なった視点からより技術的に分析しレポート致します。

 リージョナルトレンドラボは、日本国内に寄せられたUSBワーム被害に関する統計調査を実施しました。今回の調査は、USBワーム被害が顕著となる2007年11月から15ヶ月間のデータを使用しています。

■目次■

  • 数から見るUSBワーム
  • さらに巧妙になる「Autorun.inf」の難読化
  • 自動実行ファイルの拡張子から見る「Autorun.inf」
  • URLを直接開くことが可能な「Autorun.inf」
  • 利用方法により拡がる「Autorun.inf」の危険性
  • まとめ
  • ■数から見るUSBワーム

     リージョナルトレンドラボに寄せられた総数1185の「Autorun.inf」から、自動実行対象であるファイル名を抽出し、ファイル名に対する頻度分析を行った結果を下記に示します。

    図1 USBワームが自動実行させるファイル名のトップ10(期間:2007年11月~2009年2月)
    図1 USBワームが自動実行させるファイル名のトップ10(期間:2007年11月~2009年2月)

     全自動実行ファイル名のうち、TOP10が占める割合は全体の32.3%となります。1位の「hbs.exe」(WORM_AUTORUN.MFC、WORM_AUTORUN.BSMが作成する不正プログラム)、2位の「f.exe」(WORM_AUTORUN.BYTが作成する不正プログラム)、3位の「3u.cmd」(WORM_AUTORN.PZ、WORM_AUTORUN.IANが作成する不正プログラム)、これらTOP3のUSBワームについては2008年11月~2009年1月にかけて感染報告が急増しています。

     お問い合わせ時期を見ると、TOP3のUSBワームは特に局所的な感染急増傾向が見られます。

     TOP3のUSBワームは時期的特徴の他にも、いくつかの共通点があげれます。

     まず、「Autorun.inf」に類似した難読化(1行おきにランダムな文字列のコメント文が挿入)が見られるという点です。

    図2 類似した難読化(隔行でランダムな文字列のコメント文が挿入)がされている
    図2 類似した難読化(隔行でランダムな文字列のコメント文が挿入)がされている

     さらに、TOP3全てのUSBワームが下記URLにアクセスし、他の不正プログラムをダウンロードさせる挙動が見られます。

    http://<省略>.com/xrbv/uu.rar
    http://<省略>.com/xrbv/uu1.rar

     こうした事実から、過去のお問い合わせ報告数1位~3位のUSBワームが、非常に高い関連性を持ったウイルスであることがわかります。

     TOP3のUSBワームがここまで感染を拡げた理由としては、発見・駆除を逃れるための動作を複数組み合わせていた事がその主な要因と推測されます。非常に高い頻度で次々と新しい亜種を呼び込み感染させるダウンローダ機能に加え、インターネットへの接続を妨害する動作や、システム属性および読み取り専用属性を非表示になるようにレジストリを変更するなどして、発見・駆除を困難とさせています。

     これらのUSBワームは、短期間に非常に多くの被害を発生させたため、「Autorun.inf」による感染経路を一般に広く認知させるきっかけとなりました。 言い換えれば、感染経路の有効性を明示させた代表的なUSBワームの一種であるともいえるでしょう。

    目次に戻る

      1/4 次のページへ

    Index
    USBワームが作成する「Autorun.inf」の分析とその傾向
    → Page 1
    数から見るUSBワーム

    Page 2
    さらに巧妙になる「Autorun.inf」の難読化

    Page 3
    自動実行ファイルの拡張子から見る「Autorun.inf」

    Page 4
    URLを直接開くことが可能な「Autorun.inf」
    利用方法により拡がる「Autorun.inf」の危険性
    まとめ