マイケル・ジャクソン死去騒動にメッセンジャーボットが便乗


TrendLabs | Malware Blog

MSN Bot Plays on Controversy over Michael Jackson’s Death」より
Jun 26,2009 Posted by Jovi Umawing

 ポップ界のキング、マイケル・ジャクソン(Michael Joseph Jackson)のショッキングな急死が報じられて間もなく、トレンドマイクロのシニアウイルス解析者Loucif Kharouniは、この話題に便乗した不正なリンクがWindows Live メッセンジャー / MSN メッセンジャー(以下 Messenger)にスピム(無差別に送信される迷惑メッセージ)として送信されていることを確認しました。このリンクは、マイケル・ジャクソンが息を引き取る直前の、病院での最期の瞬間に関する情報にリンクするようにと見せかけていました。以下は、不正なリンクを含む複数のテンプレートメッセージが表示されたMessengerにおける、会話ウインドウのスクリーンショットです。

図1 不正なリンクを含むメッセージが表示された会話ウインドウのスクリーンショット
図1 不正なリンクを含むメッセージが表示された会話ウインドウのスクリーンショット

 このような迷惑メッセージを受け取ったユーザがいずれかのリンクをクリックすると、画像サイトまたはギャラリーに導かれる代わりに “PIC-IMG029-www.hi5.com.exe” という名称のファイル(MD5ハッシュ値:「031429fc14151f94c8651a3fb110c19b」を含む)をコンピュータ上に保存するように促されます。第一段階の解析では、このファイルは、SDBOTのファミリであることが確認されています。

2009年6月27日時点での追加情報:

 ボットネットは、IRCを介して、上記の不正リンクのテンプレートメッセージをクライアントに送信しスピム活動を行っているようです。以下は、ボットネット活動の一例を示すスクリーンショットです。

図2 ボットネット活動のスクリーンショット
図2 ボットネット活動のスクリーンショット

 今回の攻撃を引き起こす不正プログラムは、トレンドマイクロの製品では「WORM_IRCBOT.GAT」として検出されます。この不正プログラムは、感染したコンピュータ上で特定のポートを開き、リモートのコマンドを受信します。Kharouniは、特定のファイルをダウンロードするコマンドを確認し、これらのファイルは感染したコンピュータ上で実行されると報告しています。この不正活動により、結果として、「PUSHDO」の亜種がダウンロードされることになります。「PUSHDO」は、大量のスパムメール送信活動を引き起こすボットネットです。「PUSHDO」に関する詳細は、以下をご参照ください。

  • Trend Micro Security Blog「<TrendLabs Report>「Pushdo」の脅威に関する主要なファクターとその防衛手段

     トレンドマイクロの解析者による「PUSHDO/CUTWAIL」に関する白書(英文情報)は、こちらからダウンロードできます。

     ホワイトペーパ:「A Study of Pushdo / Cutwail(PDF、英語情報)」

     トレンドマイクロ製品のユーザのみなさま、今回の攻撃に関連するすべてのURLは、Trend Micro Smart Protection Network (SPN)により、すでにブロックされています。

    リージョナルトレンドラボ注:

     マイクロソフト社では、スピムに含まれる URL を誤ってクリックすることを防止する方法として、Messenger の会話ウインドウに表示される、すべての URL を無効にする設定を紹介しています。セキュリティ製品による対策と併せて設定の実施をご検討ください。

    Messenger の会話ウインドウに表示されるURLを無効に設定する方法
    ※ 下記の操作はバージョン 8.1、2008 での操作です。

    1. Messenger を起動します。
    2. メニューバーの [ツール] – [オプション] をクリックします。
    3. オプション画面左側の [セキュリティ] をクリックします。
    4. [会話ウインドウ内にリンクを表示する] のチェックボックスをオフにします。

    ※上記の設定後、会話ウインドウにて受信した URL にアクセスするには、URL をコピーし、ブラウザのアドレス入力欄に貼り付けてアクセスを行ってください。

  • 参考情報:マイクロソフト株式会社「Windows Live メッセンジャー / MSN メッセンジャー スピムについて

     

    執筆者:
    Jovi Umawing

    Technical Communications Specialist
    TrendLabs
    Trend Micro Incorporated

    2003年にトレンドマイクロに入社。現在、トレンドラボにてマルウェア解析情報、コアテクノロジー関連のマーケティングコンテンツ作成に従事。