「TrendLabs(トレンドラボ)」では、Adobe製品の更新を装い、実際は不正プログラムに感染させる手口を用いた事例を確認しています。この不正プログラムは、トレンドマイクロの製品では「TROJ_FAYKDOBE.A」として検出され、Adobe製品の更新に見せかけるため、本物そっくりに偽造されたアイコンやバージョン情報を利用します。これにより、このトロイの木馬型不正プログラムは、セキュリティ製品やシステム解析者たちの目をすり抜け、正規の更新プロセスを装うことが可能になります。
「TROJ_FAYKDOBE.A」は、実行されると、不正なファイルを作成します。作成されたファイルは、それぞれ、「BKDR_VB.JGT」および「BKDR_VB.JHM」、「BKDR_VBBOT.AP」として検出。この3つのバックドア型不正プログラムは、それぞれが各自の不正活動を実行する一方、一部で互いに補い合い自身の不正活動を完遂することが確認されています。
まず、「BKDR_VBBOT.AP」は、この3つの不正プログラムの中でもメインとなるコンポーネントで、特定のサーバに接続し、不正リモートユーザからのコマンドを待機します。一方、「BKDR_VB.JHM」は、メインコンポーネントである「BKDR_VBBOT.AP」によりロードされ、データ収集やローカルおよびリモートコンピュータ上でのプロセス起動、特定の実行中プロセスの強制終了といった不正活動をする際に利用されます。また、「BKDR_VB.JGT」は、プロキシサーバの役割を果たし、不正リモートユーザが感染コンピュータにアクセスするのを可能にします。
同様の手口が、また、ベトナムに関連するサイバー攻撃に利用されているようです。この攻撃で確認されているバックドア型不正プログラム「BKDR_VBOT.A」は、ベトナム語を利用するWindowsユーザ対応のキーボード用ドライバ「VPSKeys」を装い、コンピュータに侵入します。そして、このバックドア型不正プログラムの感染により、ボットネットが構築されることとなります。このボットネットは、感染コンピュータを監視し、分散型サービス拒否(DDoS)攻撃を仕掛ける機能を備えています。また、このサイバー攻撃で利用される「BKDR_VBOT.A」は、「TROJ_FAYKDOBE.A」と同じく、マイクロソフトのプログラミング言語「Visual Basic」で記述されており、正規ソフトウェアを装い、ユーザにダウンロードするように仕向けます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、今回の攻撃に関連する「TROJ_FAYKDOBE.A」および「BKDR_VB.JGT」、「BKDR_VB.JHM」、「BKDR_VBBOT.AP」、「BKDR_VBOT.A」などの不正なファイルのダウンロードや実行をブロックし、これらの脅威からユーザを守ります。
「Malware Spoof an Adobe Update and VPSKeys」より
April 07, 2010 Oscar Abendan
|
翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)