サイバー犯罪者は、ユーザの情報を収集するだけでなく、ファイル等を削除して損害を与えることがあります。なぜなら、ファイルの削除は、情報のみならず金銭的損失につながるからです。「身代金要求型不正プログラム(ランサムウェア)」である「CryptoLocker」はその一例で、データ破壊の脅迫と身代金要求の 2つを組み合わせたことで悪名をとどろかせることになりました。そして、トレンドマイクロは、2013年11月中旬、DWGファイルなど重要な画像ファイルを削除する「VBS_SOYSOS」を確認しました。
これまで弊社は不正プログラムおよびワーム、そしてそれらの解析に取り組んできましたが、ファイルを削除する不正プログラムおよびワームは、VBS_SOYSOS が初めてではありません。しかし、Visual Basic を元にした VBScript で記述された不正プログラムでファイルを削除するものはまれです。問題の VBS_SOYSOS は、コンピュータ支援設計(CAD)ソフトウェアの標準ファイル形式である DWGファイルを削除するため、CADソフトウェアを使用する自動車、工学、製造、建築設計といった産業にとって脅威となります。
弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、この不正プログラムは、現在メキシコで感染が拡大しています。感染数は急増し、11月10日時点で 1つの亜種でのべ 3, 331 の感染が確認されています。VBS_SOYSOS は、リムーバブルドライブを経由して PC に感染することが判明しています。
難読化されたコードの解析を進めていくと、VBS_SOYSOS は簡単なスクリプトで作成されていることがわかりました。VBS_SOYSOS は、実行されると、すべてのリムーバブルドライブ上で確認された MP3 および JPG、DWG の拡張子を持つファイル名を利用して自身のコピーを作ります。そして、元のファイルを隠すかわりに、削除するのです。
 |
|
|
PC が感染しているかどうかは、”D&D.vbe” と名づけられたこの VBS_SOYSOS 自身のコピーを検索することで特定できます。また、図2 のとおり、レジストリ値にマーカーとして「4U Denia & Dania」が追加されます。
 |
|
|
この VBScript系の不正プログラムは、タスクマネージャおよびレジストリエディタを無効にします。そのため、手動削除として、これらのアプリケーションと同等の機能を備えたサードパーティのソフトウェアが必要となります。「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術により、この脅威に関連する不正プログラムを検出し、削除します。データ損失を防ぐには、「3-2-1のルール」に従って、重要なデータのバックアップを取ることをお勧めします。
参考記事:
by Rhena Inocencio (Threat Response Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)