工業・科学関連ソフトウェアの偽「キージェネレータ」、偽セキュリティソフト感染に誘導

「TrendLabs(トレンドラボ)」では、2014年1月に入ってから、「TROJ_GATAK」の感染数が、とりわけ北米地域で増加しているのを確認しています。このファミリはあまり知られていませんが、オランダのユーザに被害を与えたファイル感染型ウイルスと関連のある不正プログラムとして、2012年に本ブログで取り上げています。

トレンドラボが、感染拡大の原因を調査したところ、この不正プログラムがさまざまなソフトウェアの「キージェネレータ」に偽装して、広く拡散されていることが判明しました。その範囲は、高価なソフトウェアや専門的な工業用ソフトウェア、科学関連のソフトウェア、マルチメディア編集ツール、ベンチマークソフトウェア、ゲームにまで、以下のように多岐に渡ります。

  • AVEVA_PDMS_v12_0_keygen.exe
  • AllData_10_40_keygen.exe
  • Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
  • CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
  • Cockos_REAPER_4_581_Final_keygen.exe
  • Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
  • GeekBench_2_2_3_keygen.exe
  • Guaranteed_PDF_Decrypte_v3_11_keygen.exe
  • Macrium_Reflect_Professional_5_2_6433_keygen.exe
  • Magical_Diary_Horse_Hall_keygen.exe
  • Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
  • Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
  • RadioSure_Pro_2_2_1004_0_keygen.exe
  • Reg_Organizer_6_11_Final_Portable_keygen.exe
  • The_Bat_Home_Edition_5_0_24_keygen.exe
  • The_Precursors_1_1_keygen.exe
  • Wolfram_Mathematica_9_keygen.exe

この不正プログラムは、トレンドマイクロの製品では「TROJ_GATAK.FCK」として検出されます。ユーザが、「キージェネレータ」だと思い込んでこれらのファイルをダウンロードし、実行すると、”<Application Data>下にファイルが作成されます。このファイルも「TROJ_GATAK.FCK」として検出されます。またこの不正プログラムは、自身のコピーが Windows 起動時に自動実行されるようにレジストリ値を追加します。

「TROJ_GATAK.FCK」は、”Google Talk” や “Skype” に関連した正規のファイルに装います。また、”AdVantage.exe” のような一般的なファイル名が利用される場合もあります。「TROJ_GATAK.FCK」は、<Application Data>\Microsoft” 下のランダムに名付けられたフォルダ下に暗号化したファイルを作成します。これは、後にメモリ上で復号されます。

この復号されたファイルには、シェルコードや不正プログラムをダウンロードする URL が含まれています。弊社では、暗号化したコードを含む画像ファイルをダウンロードする亜種も確認しています。図1は、ダウンロードされた画像で、スリランカの画像集からのものと思われます。

図1:不正プログラムによってダウンロードされた画像
図1:不正プログラムによってダウンロードされた画像

この攻撃における最終的な不正活動として、偽セキュリティソフト型不正プログラム「FAKEAV」に誘導されることになります。他のすべての「FAKEAV」と同様に、この亜種も偽のウィルス検出警告を表示し、PCからウィルスを完全に削除するために、ユーザに支払いを要求します。この不正プログラムは「TROJ_FAKEAV.SMWV」として検出されます。

「FAKEAV」は、数年前の全盛期に比べると著しく減少しています。2011年の支払システムの取り締まり以降、警察を装った「身代金要求型不正プログラム(ランサムウェア)」や、ここ数カ月では「CryptoLocker」にその勢いを奪われています。もし「FAKEAV」が再び広範囲で確認されることになれば、これまでの記事で紹介した対策が役に立つでしょう。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

  • Keygens For Engineering, Scientific Software Leads To FAKEAV
    by Jeffrey Bernardino (Threat Researcher)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 「Yahoo!」広告経由での感染事例、被害の分かれ目はパッチ管理とセキュリティ対策ソフト
    2. ネットバンク利用者攻撃ツール作者が罪を認める-トレンドマイクロがFBIに捜査協力
    3. Internet Explorer 9、10を標的とする新たなゼロデイ攻撃を確認
    4. ステガノグラフィの手法を駆使するエクスプロイトキット「Sundown EK」を確認