「TROJ_AGENT.ABBW」は10月中旬に各種報道などで注目されたトロイの木馬型不正プログラムです。トレンドマイクロでは9月30日公開のパターン4.749.00にて検出対応していました。幸いこの原稿を書いている10月26日現在「TROJ_AGENT.ABBW」の日本での感染報告は確認されていません。活動内容的にはトリガーによって破壊活動を行う、古いタイプのトロイの木馬といえます。しかし、そのトリガーがOSの言語設定となっている点が注目点です。このトロイの木馬はWindowsのレジストリからその環境の言語設定を取得して自分の活動を決定します:
- 言語設定が中国の場合、何も行わずに終了し、無害です。
- 言語設定が日本、もしくはインドネシアの場合、ハードディスクのブート情報をゴミデータで上書きしてコンピュータを起動不能にします。
- 言語設定が台湾の場合、破壊活動は行わず、以下のメッセージを表示して終了します。
※設定が台湾の場合に表示されるメッセージ:
上記以外の言語設定の場合、破壊活動は行わず、以下のメッセージを表示して終了します。
※設定が中国、日本、インドネシア、台湾以外の場合に表示されるメッセージ:
この活動内容から見るとウイルス作者は日本とインドネシアに悪意を持っているように思えますね。ウイルス作者の真の意図がなんであるのかはわかりませんが、言語設定ごとに活動を変える手法は狙った言語の使用地域だけに攻撃を集中させることに繋がります。また同時に、ユーザやアンチウイルスベンダーの対策を混乱させる手段としても有効と考えられます。例えば、言語設定によって送信するメールの本文を変更するなど、同様の手法でより複雑に活動内容を変化させる不正プログラムの登場も十分予想されます。地域的攻撃、ターゲット攻撃の増加という観点からもこの手法が定番化するかもしれません。
