「DOWNAD」:2014年第2四半期、最も多くスパムメールを送信した不正プログラムに

DOWNAD」(別名:Conficker)は、2014年第1四半期、大企業および中小・中堅企業に影響を与えた 3大不正プログラムの 1つです。これは、多くの企業でいまだ Windows XP が使用されており、この脅威の影響を受けやすいことを示しています。

「DOWNAD」は、不正な URL やスパムメール、リムーバブルドライブを介して、ネットワーク全体に感染します。この不正プログラムは、Windows に存在する Serverサービスの脆弱性「MS08-67」を利用して、任意のコードを実行します。さらに、「DOWNAD」は、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」を利用して、ランダムな URL を生成します。その後、生成した URL に接続し、感染PC上にファイルをダウンロードします。

「TrendLabs(トレンドラボ)」が、スパムメールの動向を監視したところ、2014年第2四半期は、スパムメールに関連する不正プログラムの 40%以上が、「DOWNAD」に感染した PC から送信されていることがわかりました。スパムメールに添付して感染活動を行う「FAREIT」や「MYTOB」、「LOVGATE」といった不正プログラムは、「DOWNAD」に感染した PC によって送信されています。「FAREIT」は情報収集を行う不正プログラムのファミリで、オンライン銀行詐欺ツール「ZBOT」をダウンロードします。一方、「MYTOB」は、スパムメールの添付ファイルとして自身のコピーを送信する古くからある有名なワームのファミリです。

図1:スパムメールを送信する不正プログラムの上位
図1:スパムメールを送信する不正プログラムの上位

図1が示すように、ボットネット「CUTWAIL(別名:Pushdo)」および「Gameover」が、スパムメールを送信する不正プログラムの上位となっています。「CUTWAIL」は、かつて「Gameover」をダウンロードするために利用されていました。しかし現在は、「UPATRE」が P2P通信を行う「ZBOT」の亜種「Gameover」をダウンロードしています。

トレンドラボは、2014年6月上旬、「Dropbox」のリンクを悪用して、「NECURS」、そして「UPATRE」へと誘導するさまざまなスパムメールを報告しました。また、ボイスメールを装って、「身代金要求型不正プログラム(ランサムウェア)」の「CryptoLocker」の亜種を添付したスパムメールも確認しています。トレンドラボが最近確認したスパムメールは、「CUBBY」と呼ばれるファイルストレージサービス上の URL を悪用して、オンライン銀行詐欺ツール(「TSPY_BANKER.WSTA」として検出)をダウンロードさせるものでした。サイバー犯罪者は、不正活動を隠ぺいし、PC やネットワーク上での検出を回避するために、このプラットフォームを悪用したと考えられます。

不正プログラムを添付したスパムメールは増加し続けていますが、URL から不正プログラムをダウンロードさせるスパムメールも同様に増加しています。不正プログラムを拡散するために、ファイルストレージサービスが継続して悪用されていることを考えると、このサービスはサイバー犯罪者が好んで利用する感染経路になったようです。その理由として、正規のWebサイトはセキュリティ対策製品のフィルタを回避する可能性が高く、より効果的になるためと考えられます。

上述のスパムメール送信活動のほとんどは、「Gameover」によって送信されたものですが、約175 の IP が「DOWNAD」に関連していることは注目すべきです。これらの IP は、さまざまなポートを利用し、「DOWNAD」の DGA機能を利用してランダムに生成されます。多くの PC がいまだにこの不正プログラムに感染しており、スパムメールを送信して、感染PC を増加させることに加担しています。今年、Windows XP のサポートが終了し、トレンドラボでは、Windows XP を搭載した PC は、「DOWNAD」のような脅威に感染する可能性があると予測しています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Maydalene Salvador

参考記事:

  • DOWNAD Tops Malware Spam Source in Q2 2014
    by Maria Manly (Anti-spam Research Engineer)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 「UPATRE」によりダウンロードされる「Gameover」、ランダムなヘッダを利用。検出回避が目的
    2. 台湾の機関を狙う標的型攻撃を確認。Microsoft Wordに存在したゼロデイ脆弱性「CVE-2014-1761」を利用
    3. オンライン銀行詐欺ツールを新しく確認 ネットワークを傍受して情報を窃取
    4. 2014年上半期、スパムメール送信活動とその動向