ファイル感染型ウイルス「QUERVAR」、ヨーロッパで感染拡大

トレンドマイクロでは、「PE_QUERVAR.B-O」(最初にコンピュータに侵入したファイル感染型ウイルス)および「PE_QUERVAR.B」(「PE_QUERVAR.B-O」によって感染したファイル)について複数の報告や問い合わせを受けています。これら双方のウイルスは、2012年8月上旬、特にヨーロッパを中心にメディアの注目を集めており、オランダを中心とした感染被害について報告しています。

今回の大規模拡散は、以下の 2点に起因すると考えられます。

  • このウイルスは、Microsoft Wordファイル(拡張子 DOC および DOCX)や Microsoft Excelファイル(拡張子XLS および XLSX)、通常の実行ファイル(拡張子EXE)といった、一般的にコンピュータで広く利用されているファイルに感染します。ユーザが感染したファイルを開くと、ウイルスは、ユーザのコンピュータ上の Microsoft Wordファイルや Excelファイル、EXEファイルを自動的に検索して、それらのファイルに感染します。
  • ウイルスは、”System Volume Information” フォルダを有していないドライブを狙います。これにより、ネットワークドライブや USB ドライブまたはリムーバブルドライブを特定することができます。こうして、共有ドライブから、瞬く間に感染が拡大することになります。
  • この「QUERVAR」は、ファイルに感染すると、感染ファイルの名前を改称し、ファイルの拡張子を「SCR」へと変更します。しかし、感染したファイルのアイコンはそのまま変更されません。このため、ファイル名拡張子が非表示になるようコンピュータが設定されている場合、ユーザが拡張子の変更に気づかないまま、感染したファイルを開いても、何の反応もなく、そのファイルが開かれることはありません。

    ここで留意すべきは、手動で問題のファイル名を変更しても何の効果も無いということです。感染したファイルは、このウイルスによって暗号化され、削除や復元が困難な状態となっています。このような挙動から、このウイルスが「ランサムウェア(身代金要求型不正プログラム)」であるとする見解もありますが、「TrendLabs(トレンドラボ)」の解析では、現時点においてこのランサムウェアが展開するような不正活動を確認していません。感染したファイルが暗号化される理由は現時点では不明ですが、継続して調査を行なっていきます。

    トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を搭載した製品は、OPRパターンバージョン9.311.00よりこの2つのウイルスを検出し、「PE_QUERVAR.B-O」を自動的に削除し、侵入を未然に防ぎます。ただし、弊社製品をご利用のお客様は、パターンバージョンを9.313.00(9.313.80)へと更新することをお勧めします。パターン9.313.00(9.313.80)によって「PE_QUERVAR.B」が感染したファイルは、使用可能なファイルへと復元することが可能になります。トレンドマイクロは、引き続き本ブログを通じて情報を更新していきます。

    参考記事:

  • Caring About QUERVAR
     by Trend Micro
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)