TrendLabs | Malware Blog
「MSN Bot Plays on Controversy over Michael Jackson’s Death」より
Jun 26,2009 Posted by Jovi Umawing
ポップ界のキング、マイケル・ジャクソン(Michael Joseph Jackson)のショッキングな急死が報じられて間もなく、トレンドマイクロのシニアウイルス解析者Loucif Kharouniは、この話題に便乗した不正なリンクがWindows Live メッセンジャー / MSN メッセンジャー(以下 Messenger)にスピム(無差別に送信される迷惑メッセージ)として送信されていることを確認しました。このリンクは、マイケル・ジャクソンが息を引き取る直前の、病院での最期の瞬間に関する情報にリンクするようにと見せかけていました。以下は、不正なリンクを含む複数のテンプレートメッセージが表示されたMessengerにおける、会話ウインドウのスクリーンショットです。
 |
|
|
このような迷惑メッセージを受け取ったユーザがいずれかのリンクをクリックすると、画像サイトまたはギャラリーに導かれる代わりに “PIC-IMG029-www.hi5.com.exe” という名称のファイル(MD5ハッシュ値:「031429fc14151f94c8651a3fb110c19b」を含む)をコンピュータ上に保存するように促されます。第一段階の解析では、このファイルは、SDBOTのファミリであることが確認されています。
2009年6月27日時点での追加情報:
ボットネットは、IRCを介して、上記の不正リンクのテンプレートメッセージをクライアントに送信しスピム活動を行っているようです。以下は、ボットネット活動の一例を示すスクリーンショットです。
 |
|
|
今回の攻撃を引き起こす不正プログラムは、トレンドマイクロの製品では「WORM_IRCBOT.GAT」として検出されます。この不正プログラムは、感染したコンピュータ上で特定のポートを開き、リモートのコマンドを受信します。Kharouniは、特定のファイルをダウンロードするコマンドを確認し、これらのファイルは感染したコンピュータ上で実行されると報告しています。この不正活動により、結果として、「PUSHDO」の亜種がダウンロードされることになります。「PUSHDO」は、大量のスパムメール送信活動を引き起こすボットネットです。「PUSHDO」に関する詳細は、以下をご参照ください。
トレンドマイクロの解析者による「PUSHDO/CUTWAIL」に関する白書(英文情報)は、こちらからダウンロードできます。
ホワイトペーパ:「A Study of Pushdo / Cutwail(PDF、英語情報)」
トレンドマイクロ製品のユーザのみなさま、今回の攻撃に関連するすべてのURLは、Trend Micro Smart Protection Network (SPN)により、すでにブロックされています。
リージョナルトレンドラボ注:
マイクロソフト社では、スピムに含まれる URL を誤ってクリックすることを防止する方法として、Messenger の会話ウインドウに表示される、すべての URL を無効にする設定を紹介しています。セキュリティ製品による対策と併せて設定の実施をご検討ください。
|
|