「ZBOT」や「BREDOLAB」や「FAKEAV」といった悪名高い不正プログラムの亜種を拡散させるダウンローダとして知られるトロイの木馬型不正プログラム「SASFIS」。トレンドマイクロでは、2009年時点で既にSASFISに感染したコンピュータ数の増加を確認していたが。2010年、そのSASFISが新たな手口を備えた不正プログラムとして舞い戻ってきた。

ダウンロードの連鎖へと

 SASFISは、GETリクエストをリモートサイトに送信することにより、そのリモートサイトにホストされている不正ファイルをダウンロードしてくる。2009年以降、SASFISの感染数は増加し、その悪名は高まり続けてきた。初期の亜種では、「Eleonore Exploit Pack」で改ざんされたWebサイトを介してコンピュータに侵入する手口が知られていた。Eleonore Exploit Packとは、OSやソフトのぜい弱性を利用し、Webサイトにアクセスしただけで、そのユーザーのパソコンに不正プログラムを感染させることのできるツールである。ほかには、SNS(Social Networking Service)サイト「Facebook」を装ったスパムメールを介して侵入してくる亜種も確認されていたようだ。

 米アップルのコンテンツ配信サービス「iTunes Store」からの送信を装ったスパムメールを介して拡散する亜種も確認されている。この偽メールには、受信者が50米ドル相当のギフト券を受け取れるなどと記載されていたという。このスパムメールは、そうしたメッセージと一緒にZIPファイルが添付されており、このファイルを開くと、「TROJ_SASFIS.HN」が受信者のコンピュータにインストールされる仕掛けになっていた。

 この「TROJ_SASFIS.HN」は、インストールされると、侵入したコンピュータ内に不正なファイル(「TROJ_DLOADR.SMVE」として検出)を作成する。「TROJ_DLOADR.SMVE」は、リモートサイトに接続して、不正リモートユーザーからのコマンドを受信する。コマンドには、別の接続先である各種URLが記されており、「TROJ_DLOADR.SMVE」は、それらのURLから自身の更新版やその他の不正プログラム、不正なファイルをダウンロードしてくるのである。

図1●「iTunes Store」を装ったスパムメールのサンプル

新たな亜種に古い手法が

 最近のSASFISは、ユーザーをだまして自身のコピーをインストールさせる際、別のソーシャルエンジニアリングの手法を試みるようだ。トレンドマイクロのエンジニアShih-Hao Wengによると、最近見つかったSASFISの亜種では、ソーシャルエンジニアリングの手口として、かつてのスパムメールで使用されていた古い手法(Unicodeの「right-to-left override (RLO)」という制御文字の悪用)が使われているという。

 これまでの亜種と同様、この新しい亜種(「TROJ_SASFIS.HBC」として検出)も、スパムメールに添付された圧縮ファイル(拡張子はRAR)としてコンピュータに侵入する。この添付ファイルは、Microsoft Excel文書の圧縮データが含まれているように装ってはいるが、実際はこの圧縮ファイル自体が実行形式のスクリーンセーバーファイルである。従って、この添付ファイルを開くと、スクリーンセーバーが実行され、これにより「BKDR_SASFIS.AC」がダウンロードされることになる。

 また、このトロイの木馬型不正プログラムは、「right-to-left override」 (RLO)という手法を用いて本来のファイル名を巧妙に隠ぺいすることができる。この手法を使うと、XLSファイルやTXTファイルなど無害に見える正規ファイルを装うことが可能になる。RLOはUnicode制御記号の一つであり、Unicodeを用いるOSにおいてRLO以降の文字列を逆順(右から左へ)に表示させるものである。例えば不正プログラムのファイル名を「I-LOVE-YOU-XOX[U+2020e]TXT.EXE」とした場合、「U+2020e」という制御記号が「この記号の後に連なる文字列を右から左に連なるように逆順表示させる」という指示になり、ファイル名は見かけ上、「I-LOVE-YOU-XOXEXE.TXT」と表示される。

アフィリエイトで金もうけ

  SASFISは「他の不正プログラムの感染活動に加担する」という目的で、サイバー犯罪者たちにより作成されたと推測される。アンダーグラウンドの様々な組織をパートナーとし、SASFISに感染したコンピュータを貸し出すことで、いわゆるアフィリエイトプログラムの一環として「ユーザーをだまして利益を上げる」不正活動を「支援」するわけである。

 SASFISの背後で暗躍するサイバー犯罪者たちは、そうした支援の方法として二つの「ビジネスモデル」を使用している。一つは「ペイ・パー・インストール(pay-per-install:PPI)」というモデル。もう一つは、「ペイ・パー・アクセス(pay-per-access:PPA)」というモデルである。

 PPIは、依頼に応じて、SASFISに感染したコンピュータに希望の不正コードをインストールし、その対価を受けるというビジネスモデルである。