検索:
ホーム   »   不正プログラム   »   CADファイルなどを削除するVBScript系不正プログラム「SOYSOS」

CADファイルなどを削除するVBScript系不正プログラム「SOYSOS」

  • 投稿日:2013年11月26日
  • 脅威カテゴリ:不正プログラム, リムーバブル, TrendLabs Report, 感染媒体
  • 執筆:Threat Response Engineer - Rhena Inocencio
0

サイバー犯罪者は、ユーザの情報を収集するだけでなく、ファイル等を削除して損害を与えることがあります。なぜなら、ファイルの削除は、情報のみならず金銭的損失につながるからです。「身代金要求型不正プログラム(ランサムウェア)」である「CryptoLocker」はその一例で、データ破壊の脅迫と身代金要求の 2つを組み合わせたことで悪名をとどろかせることになりました。そして、トレンドマイクロは、2013年11月中旬、DWGファイルなど重要な画像ファイルを削除する「VBS_SOYSOS」を確認しました。

これまで弊社は不正プログラムおよびワーム、そしてそれらの解析に取り組んできましたが、ファイルを削除する不正プログラムおよびワームは、VBS_SOYSOS が初めてではありません。しかし、Visual Basic を元にした VBScript で記述された不正プログラムでファイルを削除するものはまれです。問題の VBS_SOYSOS は、コンピュータ支援設計(CAD)ソフトウェアの標準ファイル形式である DWGファイルを削除するため、CADソフトウェアを使用する自動車、工学、製造、建築設計といった産業にとって脅威となります。

弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、この不正プログラムは、現在メキシコで感染が拡大しています。感染数は急増し、11月10日時点で 1つの亜種でのべ 3, 331 の感染が確認されています。VBS_SOYSOS は、リムーバブルドライブを経由して PC に感染することが判明しています。

難読化されたコードの解析を進めていくと、VBS_SOYSOS は簡単なスクリプトで作成されていることがわかりました。VBS_SOYSOS は、実行されると、すべてのリムーバブルドライブ上で確認された MP3 および JPG、DWG の拡張子を持つファイル名を利用して自身のコピーを作ります。そして、元のファイルを隠すかわりに、削除するのです。

図1:「VBS_SOYSOS」のスクリプト
図1:「VBS_SOYSOS」のスクリプト

PC が感染しているかどうかは、”D&D.vbe” と名づけられたこの VBS_SOYSOS 自身のコピーを検索することで特定できます。また、図2 のとおり、レジストリ値にマーカーとして「4U Denia & Dania」が追加されます。

図2:「VBS_SOYSOS」の自動実行用レジストリ値
図2:「VBS_SOYSOS」の自動実行用レジストリ値

この VBScript系の不正プログラムは、タスクマネージャおよびレジストリエディタを無効にします。そのため、手動削除として、これらのアプリケーションと同等の機能を備えたサードパーティのソフトウェアが必要となります。「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術により、この脅威に関連する不正プログラムを検出し、削除します。データ損失を防ぐには、「3-2-1のルール」に従って、重要なデータのバックアップを取ることをお勧めします。

参考記事:

  • 「VBScript Malware SOYSOS Deletes CAD Files」
     by Rhena Inocencio (Threat Response Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Android端末を狙う不正プログラム、2012年末までに12万個に!?
    2. 情報収集を目的とする「Flame」 イランや中東諸国を標的に
    3. 拡大する「DORKBOT」の脅威
    4. 「Shylock」だけが Skype を狙う唯一の脅威ではない


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.