McAfee Avert Labs Blog
Fake-Alert Tour Driven by Malware Team」より
December 4,2008 Posted by Nandi Kishore

 しっかりとシートベルトを締めておこう。最近インターネットに出回っている,偽警告メッセージ発生源のトロイの木馬を巡るツアーに出かけるからだ。このツアーで出会うマルウエアは,パソコンに偽物の悪質なウイルス対策ソフトを入れようとする。マルウエアが使う手口としては,以下のようなものがある。

 ツアー日程表の形式で挙げておく。

第1経由地:マルウエアをホスティングする攻撃用Webページ
第2経由地:ブラウザ・ヘルパー・オブジェクト(BHO)
第3経由地:悪質な偽ウイルス対策ソフト用ダウンローダ
最終目的地:パソコンが悪質な偽ウイルス対策ソフトに感染

 ツアーの出発地点は,マルウエア・ホスティング用の悪質なWebページだ。ユーザーは,メール/インスタント・メッセージに記載されているリンクなどのソーシャル・エンジニアリング攻撃や,悪事と無関係だが汚染されたWebサイトのリダイレクトに誘導されて,攻撃用Webページを訪れる。こうしたリンクを1回でもクリックすると,感染が始まる。

 ユーザーは,マルウエアをホスティングしているWebページで「チケットを買う」。つまり,何らかのソーシャル・エンジニアリング攻撃を受けてパソコンに実行ファイルをダウンロードしてしまう。

 今回のツアーでは,以下のWebサイトを紹介する。

  • http://best[blocked]tube.net

     このWebサイトにアクセスすると,「Windows Media Player」用コーデック・プラグインという触れ込みの「wmcodec_update.exe」をダウンロードするよう求められる。この偽プラグイン・ファイルの正体は多機能ドロッパという種類のマルウエアであり,ダウンロードしないでいると繰り返しメッセージ・ボックスが表示される。

     プラグイン・ファイルをダウンロードして実行すると,以下のような偽エラー・メッセージが現れる。

    プラグイン・ファイルの出すエラー・メッセージ

     このプラグイン・ファイルはマルウエアとして動作を続け,(1)BHOと(2)悪質な偽ウイルス対策ソフト用ダウンローダを入手する。

     ツアー参加者は次の経由地であるBHOに移動し,Webブラウザが汚染される。汚染の影響で,例えばWebブラウザで実行する検索処理が乗っ取られて別の攻撃用Webページへのリンクを挿入される,といった被害に遭う。以下に掲載した二つの画像は,「正常な」検索結果ページと,BHO感染で攻撃用Webページへのリンクが挿入された検索結果ページの違いを示すものだ。攻撃用Webページがどれか分かるように一つだけ赤で囲った。両画像を比べて違いを五つ見つけよう;-)

     BHO未汚染のWebブラウザが表示するURL:

    汚染前の検索結果ページ

     BHO汚染済みWebブラウザが表示する攻撃用WebページのURL:

    偽の検索結果ページ

     スパイウエアは,BHOを使ってユーザーのWeb閲覧状況を調べるものが多い。こうして得られた情報は,検索キーワードと関連性の高い広告をポップアップ表示するマルウエアなどに利用されるようになる。

     次の経由地は,悪質な偽ウイルス対策ソフト用ダウンローダだ。ここでユーザーは,パソコンのデスクトップ上でポルノ・サイトにリンクしている二つの雑誌を目にする。

    偽雑誌

     この「偽」ダウンローダは,ユーザーに断りなく偽アプリケーションをダウンロードする。ユーザーのパソコンは,最終的に偽アプリケーションに感染してしまう。

     この偽アプリケーションは,偽物の警告メッセージを表示する。

    偽物の警告メッセージ

     偽アプリケーションの出す検査レポートを読んでみると,大げさでうその内容であることが分かる。

    いい加減な内容の検査レポート

     このアプリケーションの出すうその警告メッセージは,実在しない脅威を誇張し,パソコン「修復」に必要な製品を購入するようユーザーをそそのかすことが目的だ。

    偽物のアクティベーション画面
    偽物の登録画面

     偽警告メッセージのツアーは楽しめただろうか。現在は,さまざまなマルウエアがパソコンへの感染を目指して一致団結して活動する。今回の記事では,マルウエアをホスティングする攻撃用Webページ,多機能ドロッパ,BHO,ダウンローダ,偽警告メッセージが協調する例を紹介した。

     我々のアドバイスは常に変わらない。メッセージボックスを閉じる隙も与えず無限に表示し続ける偽プラグイン・ファイルのダウンロードを,未然に防ぐことだ。OSのタスクマネージャで,怪しいメッセージを表示しているようなプロセスの停止を試みよう。メール内のリンクに注意しよう。知らない人からのメールやインスタント・メッセージに記載されているリンクは,特に注意が必要だ。パソコンをマルウエア感染から守るには,何よりもまず「安全なWeb閲覧」を習慣にしよう。

    Copyrights (C) 2008 McAfee, Inc. All rights reserved.
    本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
    ◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Fake-Alert Tour Driven by Malware Team」でお読みいただけます。