これまでこの連載では,ユーザーの環境に侵入する不正プログラムそのものを検証してきた。今回は視点を変え,攻撃者が使用するツールの動作を検証してみたい。

 今回検証する不正プログラム「HKTL_FAKEYOUT」は,定番動画サイトであるYouTubeを偽装したWebページを作成するためのツールである。最近の攻撃ケースでは,ユーザーの興味を引いて不正サイトに誘導し,ユーザー自身に不正プログラムをインストールさせるようなケースが増えている。特にユーザーの興味を引きつけやすいものとして動画コンテンツがある。

 日本でも確認できた例としては,ハリウッド女優のヌード動画や,CNN,MSNBCといったニュースサイトのビデオニュースをかたった不正サイトへ誘導するスパムメールがあった。誘導後は,それら動画コンテンツの再生に必要なソフトウエアやコーデックなどと偽って,ユーザー自身に不正プログラムをインストールさせるのが定番の手口だ。「HKTL_FAKEYOUT」は,そのような攻撃の裏で使用されている偽サイト作成ツールである。

 では早速,ツールの本体である「YouTube Fake Creator v1.0.exe」を検証環境(図1)にコピーして,ダブルクリックする。

図1●今回検証した環境
図1●今回検証した環境
HKTL_FAKEYOUTで作成されたIndex.htmlをテスト機上のWebサーバーのルートに設定し,ブラウザからアクセスする

 すると,即座にエラー・メッセージが表示され,実行できなかった(図2)。

図2●「HKTL_FAKEYOUT」を実行するとエラーメッセージが表示された
図2●「HKTL_FAKEYOUT」を実行するとエラー・メッセージが表示された
[画像のクリックで拡大表示]

 エラー表示に出ている「RICHTX32.OCX」について確認したが,これはVisual Basicのファイルのようだ。そのため,Visual Basicのランタイム・パッケージをインストールしたところ,実行が可能となりツールの画面が表示された(図3)。

図3●ランタイムをインストール後,実行に成功した
図3●Visual Basicのランタイムをインストール後,実行に成功した
[画像のクリックで拡大表示]