「VOBFUS」ファミリの不正プログラムは、多様に変化させる機能を備えていることで知られています。この機能により、新たな亜種を簡単に生成することができます。「TrendLab(トレンドラボ)」は、2014年5月、この機能の代わりに複数の言語を利用する「VOBFUS」ファミリの亜種を確認しました。これは、「VOBFUS」ファミリの不正プログラムには今まで見られなかった機能です。
■異なる言語を利用した感染
「WORM_VOBFUS.JDN」として検出されるこの新たな亜種は、他の「VOBFUS」ファミリの亜種と同じように、リムーバブルドライブ内に自身のコピーを作成することで感染を拡大します。以前の亜種は、ユーザに作成したファイルをクリックさせるため、以下の人目を引くファイル名を利用していました。
- passwords.exe
- porn.exe
- secret.exe
- sexy.exe
一方、「WORM_VOBFUS.JDN」は、これを進化させて、感染した PC のオペレーティングシステム(OS)の言語や位置により異なるファイル名を持つファイルを作成します。例えば、OS言語が英語に設定されている PC には、以下のいずれかのファイルが作成されます。
- I love you.exe
- Naked.exe
- Sexy.exe
- Password.exe
- Webcam.exe
インドネシア語を使用する PC では、以下のファイルが作成されます。
- Aku mencintaimu.exe
- kata sandi.exe
- seksi. exe
- Telanjang.exe
また、この亜種は、以下の言語で書かれたファイル名も利用します。
- アラビア語
- ボスニア語
- 中国語
- クロアチア語
- チェコ語
- フランス語
- ドイツ語
- ハンガリー語
- イタリア語
- 韓国語
- ペルシア語
- ポーランド語
- ポルトガル語
- ルーマニア語
- スロバキア語
- スペイン語
- タイ語
- トルコ語
- ベトナム語
言語は違いますが、すべてのファイル名は、「I love you」、「Naked」、「Password」、「Webcam」の意味を持ちます。
■各地域に順応する不正プログラム
システムの地域情報を確認し、各地域に適応して感染を画策するこの脅威は、サイバー犯罪者が新たな被害者を得るための 1つの手口として見ることができるでしょう。現地の言語で書かれたファイルや通知は、英語で書かれたものを見るよりユーザの関心を引くかもしれません。またユーザは、これらの「現地語化」されたファイルや通知に安心してしまい、他のファイルに比べて疑いを持たない可能性もあります。
警察を装う「身代金要求型不正プログラム(ランサムウェア)」は、同様の手口を利用した脅威です。これらの不正プログラムは、被害者の国の現地警察を装い、ロックされた PC に対して金銭を支払うよう強要します。例えば、フランスのユーザは、Gendarmerie nationale(フランス国家憲兵隊)を装った通知を受け取る一方、米国のユーザは、米連邦捜査局(FBI)からのメッセージを受け取る恐れがあります。また、被害者の言語の音声クリップを利用したランサムウェアの事例もありました。現地の警察を装うことで、金銭の要求に正当性を持たせ、被害者に支払わせようとします。
またトレンドラボでは、この手口を利用するファイルを暗号化するランサムウェアも確認しています。このランサムウェアは、被害者が身代金を支払うまで PC をロックし、ファイルを暗号化します。さらに、トレンドラボは、トルコとハンガリーのユーザを対象とした 2つの事例を確認しています。ランサムウェアと通知書を添付したこのスパムメールは、ユーザの言語で書かれていました。
サイバー犯罪者は、新たな被害者を得るためには、可能などんなことも、またどんな手口をも利用します。送信元が不明なリンクやファイルは、クリックをしないでください。ランサムウェアの事例においては、暗号化されたファイルは身代金を支払うこと以外では復号する可能性がないため、上述の事例のような場合に備えて、定期的にファイルをバックアップすることも良い習慣です。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また、「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Mark Joseph Manahan (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)