「TrendLab(トレンドラボ)」は、2014年1月下旬、「TROJ_UPATRE.SMAI」として検出される、かなり珍しい添付ファイルを確認しました。この問題の添付ファイルは、解凍および実行されると、図1 のエラーメッセージを表示します。
 |
一見すると、このエラーメッセージは不正でないように思わせます。しかし、解析していくと、ある 1点が目を引きました。それは、システム時刻を確認するコードです。
 |
トレンドラボがさらに解析を進めていくと、面白いことが判明しました。この不正プログラムは、ある特定のメモリの場所に月の値を追加します。その結果、不正プログラムの活動に必要なメモリのアドレスとコードの復号キーが返されます。しかし、このような正しい結果を返すのは、PCのシステム時刻が 1月のときのみです。
 |
 |
|
図3~5 は、この不正プログラムの復号の過程および起こりうる結果を示しています。図4 の復号された文字列は、PC のシステム時刻が正しくないため、解読不能となっています。そのため、図1 のエラーメッセージが表示されるのです。
しかし、図5 では、PC のシステム時刻が 1月に設定されており、正しいメモリのアドレスが返され、プログラムが正常に実行されます。その結果、「TSPY_ZBOT.ADXK」と検出されるオンライン銀行詐欺ツール「ZBOT」の亜種が作成されます。
日時を確認する不正活動を除いては、問題の不正プログラムのスパムメール送信活動およびこの不正プログラムの活動は典型的なものです。「TROJ_UPATRE.SMAI」は、偽の FAX文書もしくは書類提出を連絡する Eメールとして送信されます。「TROJ_UPATRE.SMAI」のその他の不正活動は、「UPATRE」ファミリのそれと一致しています。「UPATRE」は、2013年9月に初めて確認され、スパムメール経由で拡散される極めて一般的な不正プログラムです。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する Eメールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Merianne Polintan
参考記事:
by Rika Joi Gregorio (Threat Response Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)