| Symantec Security Response Weblog |
June 12,2009 Posted by Symantec Security Response
あるスパム・メールに“Conflicker”という言葉をを見付けた。Confickerワームの名前を正しいつづりで書けなかったのだ。このスパムによると,米シマンテックと米マイクロソフトが“Conflicker”用パッチの作成で協力したとある。そしてさらに,スパムのメッセージには,Confickerは「Troj/Brisv.A」とも呼ばれているとあった。何ということだろうか。
スパムには「remtool_conf.exe」という名前のファイルが添付されている。スパム送信者は,自分たちのトロイの木馬を広めることだけでなく,もう一歩進んだことを狙ってきた。問題のファイルは,このトロイの木馬にバンドルされてくるTrojan.Brisvへの対策用としてシマンテックが提供している修復ツールなのだ。このファイルを起動すると,実際にシマンテックのBrisv用修復ツールが動き,トロイの木馬も自分の役目を果たす。今回の場合は,外部サイトにアクセスし,ほかのマルウエアをダウンロードする。シマンテックのセキュリティ製品は,現在このマルウエアを「Suspicious.MH690.A」として検出する。
この修復ツールらしきファイルは,アイコンまでシマンテックの本物のツールと同じものを使っている。
テスト用パソコンで実行したところ,すぐにシマンテックの使用許諾契約書(EULA)が表示された。
素直なユーザーなら「やっぱりシマンテックのEULAだ。安心した」と思うだろう。確かに表示はその通りなのだが,スパム・メールの添付ファイル実行で起きる現象はほかにもある。本物の(デジタル署名済み)シマンテック製Trojan.Brisv用修復ツールがテンポラリ・フォルダにダウンロードされ,別のトロイの木馬が同じフォルダにダウンロードされ,本物の修復ツールが実行される。本物の修復ツールとトロイの木馬が入ったテンポラリ・フォルダのスクリーンショットを以下に示そう。
このフォルダ内の修復ツールは,もちろん本物のシマンテック製ツールである。一方トロイの木馬「webexplorer.exe」は基本的にダウンローダとして機能し,外部サイトにアクセスして「winupdate.exe」という別のファイルをダウンロードする。当然このファイルもトロイの木馬であり,シマンテックのセキュリティ製品は「Suspicious.MH690.A」として検出する。
ここから以下の教訓が得られる。シマンテックの修復ツールを使う必要があるのなら,シマンテックのWebサイトから無料でダウンロードすればよい。そして,メールの添付ファイルを何気なくクリックすることを止めよう。なお,Trojan.Brisvは間違いなくワーム「W32.Downadup」(別名はConfickerで“Conflicker”ではない)と無関係だ。シマンテックのセキュリティ製品は以前と変わらずW32.Downadupを「Downadup/Conficker-related」として検出する。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Symantec Not Capable of Detecting "Conflicker"?」でお読みいただけます。
