ワーム「Conficker」対策? 実は偽セキュリティソフト型「FAKEAV」に感染

TrendLabs | Malware Blog

FAKEAV Uses Conficker Worm as Bait」より
Oct 21, 2009 Robby Dapiosen

 サイバー犯罪者は、ごく最近、マイクロソフトをかたりユーザを罠におびき寄せようとする新たな手段を見つけました。

図1:スパムメールのサンプル
図1:スパムメールのサンプル

図2:不正な添付ファイル「install.zip」
図2:不正な添付ファイル「install.zip」

 このスパム活動に利用されるメールの一例が図1の通りです。このメールを受け取ると、ユーザは、スパムメールに添付されているZIPファイル(図2参照)をインストールするように促されます。メールの本文中に、コンピュータがワーム「Conficker(トレンドマイクロでは DOWNAD)」に感染しているか確認できる無料のウイルス対策ソフトである、と書かれていますが、しかし実のところ、この添付ファイルは不正なファイルです。

 一連のスパムメールの注目すべき点は、ヘッダーが偽造されていることです。受信者のアドレスを送信者情報(From:)にも利用するのです(図3参照)。

図3:スパムメールの発信元の詳細
図3:スパムメールの発信元の詳細

図4:偽セキュリティソフトのスプラッシュスクリーン
図4:偽セキュリティソフトのスプラッシュスクリーン

 添付されているZIPファイルには、実行ファイルが含まれており、トレンドマイクロの製品では「TROJ_FAKEAV.BL」として検出されます。この不正プログラムは、実行されると、偽セキュリティソフト「Power-Antivirus-2009」が起動処理中であるように見せかける「スプラッシュスクリーン」を表示します(図4)。次に、偽のスキャン中のウィンドウ(図5上)を表示し、この実行ファイルが正規のセキュリティソフトであるように装います。スキャンが終了すると、複数の不正プログラムに感染しているように見せかける偽の感染警告(図5下)を表示します。

図5:偽セキュリティソフトのGraphical User Interface(GUI)
図5:偽セキュリティソフトのGraphical User Interface(GUI)

 トレンドマイクロ製品をご利用のユーザは、スパムメールおよび不正ファイルを利用したこの攻撃から守られています。トレンドマイクロ製品をご利用でないユーザは、無料ウイルスチェック「オンラインスキャン」でウイルス検索されることをお勧めします。オンラインスキャンでは、ウイルスや不正プログラム、ワーム、不正なプラグインや他のマルウェアを特定し、削除する機能を備えています。

 翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)

執筆者:
Robby Dapiosen

Anti-spam Research Engineer
TrendLabs
Trend Micro Incorporated

 現在、トレンドラボのコンテンツセキュリティ(CS)・チームで、アンチ・スパム解析エンジニアとして従事。