TrendLabs | ラボレポート
先日、「TROJ_ASPROX」ファミリによるSQLインジェクションを用いたWebサイト改ざん攻撃が確認され、今後国内への波及が懸念されています。一方、グローバルでは、9月末、タイ政府関連の複数のWebサイトを狙った不正活動が確認されました。今回の攻撃では、Webサイト改ざんから偽セキュリティソフト詐欺へと導く手口が特徴といえるでしょう。ここ数ヶ月、かつてないほど偽セキュリティソフト攻撃が活発化しています。サイバー犯罪者は、「FAKEAV」をばら撒く手段としてWebサイト改ざんの利用を考え始めたようです。
ここでは、タイ警察のWebサイト改ざん事例をご紹介します。
影響を受ける OS:Windows 98, ME, NT, 2000, XP, Server 2003
感染フロー | この攻撃によりユーザがさらされるリスクは | 改ざんされたWebサイトの復元状況
感染フロー:
- ユーザが、改ざんされたタイ警察のWebサイトにアクセスすると、複数の不正Webサイトにリダイレクトされます。
図1.改ざんされたWebサイトのサンプル - 最終的にたどり着く不正サイトから、トレンドマイクロの製品では「TROJ_DLOADER.DNG」として検出されるダウンローダがダウンロードされます。
- 「TROJ_DLOADER.DNG」は、自身のコピーを作成し、作成されたコピーがWindows起動時に自動実行されるようレジストリ値を追加します。またWindowsの正規アイコンを用い、正規のアプリケーションを装います。
- また、「TROJ_DLOADER.DNG」は、「TROJ_FAKEREAN.BW」をダウンロードし、さらに、「TROJ_CUTWAIL.GQ」および「TSPY_ZBOT.ACH」をダウンロードする可能性があります。
- ダウンロードされた「TROJ_FAKEREAN.BW」は、偽セキュリティソフト「Antivirus Pro 2010」です。この不正プログラムは、まず、自身がWindows起動時に自動実行されるようレジストリ値を追加します。また、レジストリ値を変更して、Windowsのセキュリティ機能を無効にします。
図2.偽セキュリティソフト「Antivirus Pro 2010」のスクリーンショット - 「TROJ_FAKEREAN.BW」は、その後、複数のファイルをランダムなファイル名で作成します。偽のスキャン結果では、これらのファイルが不正プログラムとして表示されます。
- 「TROJ_FAKEREAN.BW」は、「ユーザのコンピュータが感染している」というポップアップの警告、および偽のスキャン結果を表示します。
- 「TROJ_FAKEREAN.BW」は、「Antivirus Pro 2010」の完全版を購入して不正プログラムを削除するように促します。購入しようとするユーザは、偽の登録ページに誘導され、金銭ばかりでなく、個人情報も失うことになります。
- 他方、ダウンロードされる不正プログラム「TROJ_CUTWAIL.GQ」は、ルートキット機能に利用され、「TSPY_ZBOT.ACH」は、サイバー犯罪者がキー入力操作情報を収集するために利用されます。これにより、ユーザの個人情報が漏えいし悪用される恐れがあります。
▲TOP
この攻撃によりユーザがさらされるリスクは:
ダウンローダ「TROJ_DLOADER.DNG」がダウンロードする不正プログラムは、常時同じではありません。他の不正プログラムがダウンロードされ、さらにユーザを危険にさらす可能性があります。偽セキュリティソフト型「TROJ_FAKEREAN.BW」により、この偽ソフトの購入金だけでなく、クレジットカード情報を含む個人情報も失う恐れがあります。また、「TSPY_ZBOT.ACH」もキー入力操作情報を収集するため、この不正活動によっても個人情報が漏えいし悪用される可能性があります。
▲TOP
改ざんされたWebサイトの復元状況:
2009年9月26日現在、トレンドマイクロは改ざんされたWebサイトに対して通知を行い、この攻撃によるユーザへのリスクも説明しています。また、Thai Computer Emergency Response Team(ThaiCERT)も改ざんされたWebサイトについての情報を把握しています。
Trend Micro Smart Protection Network(SPN)をご利用のお客様は、既にこの攻撃から守られています。
このサービスをご利用でないお客様、および、一般のインターネットユーザは、上記Webサイトについては現在、修復作業中のため、現時点での上記Webサイト閲覧をお控えください。
|
▲TOP