Symantec Security Response Weblog

Brazilian MSN Worm Looks Familiar」より
August 2,2007 Posted by Liam OMurchu

 悪名高いInfostealer.Bancos系マルウエアは,ブラジル生まれだ。ところが最近,オンライン・バンキング用サイトだけでなく,以前より様々なWebサイトがこのブラジル産マルウエア作者グループの標的にされている。先ごろ登場したワームW32.Imcontactspamも,このグループの作品なのだろうか。

 W32.Imcontactspamはブラジル発のワームである。感染したユーザーのMSNコンタクト・リストに掲載されている宛先に対して「電子グリーティング・カードが届いた」と知らせるスパム・メールを送信することで,感染拡大を図る。この種のワームは非常によく見かけるが,我々は同ワームの手口とInfostealer.Bancos系トロイの木馬が使っている手法の類似性に注目した。

 W32.Imcontactspamは実行されると,以下のように動く。

  1. 本物の「MSN Messenger」ログイン・ウィンドウを最小化する
  2. ポルトガル語の偽ログイン・ウィンドウを表示する
  3. 入力されたユーザー名とパスワードを記録する
  4. 本物のMSN Messengerログイン・ウィンドウを表示する(ユーザーはパスワードを再入力しなければならない)
  5. コンタクト・リスト内のメール・アドレスをすべて記録する
  6. ユーザー名とパスワード,感染したユーザーのコンタクト・リストをまとめ,ワームの作者に送信する

 同ワームの作者が受け取るメールの例を以下に示す。

 同時にこのワームは,感染したユーザーのコンタクト・リスト内にあるあて先へ次のメールを送る(ざっと訳すと「お友達があなたにカードを送りました。カードを見るには下のリンクをクリックしてください」という内容になる)。

 メールの受信者がグリーティング・カードを見ようとこのリンクをクリックすると,「マクロメディアFlashプレーヤの最新版が見つかりません。ダウンロードしてインストールしてください」というポップアップ・メッセージが現れる。

 ここでOKをクリックすると,偽のFlash用「今すぐインストールする」ページが表示される。

 ここでいよいよワーム本体が姿を現す。

 この偽のFlashアップデートの実体はW32.Imcontactspamワームのコピーである。受信者が偽アップデートのインストールに同意すると,受信者のパソコンもこのワームに感染してしまう。

 同ワームは「cartorio24horas.com.br」というWebサイトを狙ったフィッシング攻撃と思われる以下の偽メールも送る。


[画像のクリックで拡大表示]

 この偽メール内のリンク先は正規のサイト「cartorio24horas.com.br」でなく「cartorioS24horas.com」である。フィッシング・サイトのcartorioS24horas.comは現在アクセスできない状態であるため,攻撃者がこの偽メールで何を得る目的だったのかを正確に判断するのは難しい(cartorio 24 horasはこうした偽メールの存在に気付いており,Webページでユーザーに警告している)。

 このワームを分析したところ,よく見かけるInfostealer.Bancosのサンプルと一致する特徴を多く備えていることが明らかになった。最も明確な共通点は,両ワームがいずれもブラジルのインターネット・ユーザーを狙っていて,プログラミング言語Delphiで書かれていることだった。

 その上,たいていのワームが本物のMSN用ウインドウを使ってキー入力を盗むのに対し,このワームの作者が偽のMSN Messengerログイン・ウインドウを使うことに決めた点も興味深い。問題の偽ログイン・ウインドウは,ワームの実行ファイルにJPEGファイルとして保存されている。このため,実行ファイルはサイズが大きく,偽ログイン・ウインドウは機能が乏しい。例えば偽ログイン・ウインドウの「ファイル」メニューをクリックされても適切に処理できないため,クリック操作が不可能といった内容のメッセージ・ボックスを表示する。

 Infostelaer.Bancos系トロイの木馬はほぼ例外なく内部に画像データを保存しており(その結果,実行ファイルのサイズは大きくなる),W32.Imcontactspamワームと同じく本物の銀行のWebサイトを表示する代わりにその画像を出す。

 ほかにも共通点がある。多くの場合,Infostealer.Bancos系トロイの木馬も感染したユーザーのコンタクト・リストをすべて収集し,匿名メール・アドレスの攻撃者に送信する点が似ている。W32.Imcontactspamワームは,感染したユーザーの全コンタクト・リストから集めたメール・アドレスを,感染ユーザーのユーザー名およびパスワードとともに,Gmailの二つのアカウントへ送る(送信先アカウントの詳細情報については,Gmailの悪用を管轄するチームに伝えた)。

 さらに,W32.Imcontactspamワームの作者は明らかにそれほど経験値の高いプログラマでない。このことは,同ワームが本物ではなく偽のMSNログイン・ウィンドウを使っている点と,調査の段階でワームが全コンタクト・リスト宛のメールを送信する際,FROM行に感染したユーザーのユーザー名でなくパスワードを入れた動作から判明した。

 最後に,Infostealer.Bancos系トロイの木馬は「.exe」という通常の実行ファイル用拡張子でなく,スクリーン・セーバー用ファイルの拡張子である「.scr」を使うことが多い。

 前述の偽Flashアップデートをよく見ると,.srcというファイル拡張子が使われており,スクリーン・セーバーに分類されていることが分かる。

 もちろん,ここで示した特徴のいくつかはアマチュア・レベルのほかのウイルスにも見られるが,これほど類似点が多いと,間違いなくW32.ImcontactspamとInfostealer.Bancosは比較されてしまう。

 Infostealer.Bancos系トロイの木馬とW32.Imcontactspamの作者が同じかどうかは明言できない。しかし極めて近い関係にあるグループが作ったもので,そのグループが銀行以外のWebサイトにも攻撃の手を広めていると判明しても驚きはしない。


Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Brazilian MSN Worm Looks Familiarでお読みいただけます。