今回は、最近セキュリティ関連ブログで取り上げられたセキュリティインシデントの解説をいくつか紹介する。
ロシアのカスペルスキーラボは、米国/ドイツ/英国で活発に活動している新しいボットネット/ワーム「HLux」をブログ「A few words about the HLux botnet」で取り上げた。
このワームは、クライムウエアパッケージ「BOMBA」によるメール配信で感染拡大を図る。メールには、「Flash Player」をインストールしないと読めない偽物の電子グリーティングカードが添付されている。インストール用リンクをクリックさせて攻撃を仕掛ける古典的な手口だ(下図参照)。
パソコンへの感染に成功すると、さらに悪質なアップデータ「Email-Worm.Win32.Hlux.c」のダウンロードを行う。そしてBOMBAのサーバーに接続し、感染に関する情報を報告するという。
米国最大規模の福利厚生サービス業者にWeb攻撃
米ウェブセンスによると、米国最大規模の福利厚生サービス業者である米ウェイジワークスが持つWebサイトの一つがコード挿入攻撃を受け、アクセスが悪質なWebサイトへリダイレクトされる状態になっていた(「WageWorks site compromised」)。挿入されたコードは、該当Webページをスクロールしていけば簡単に見つかるという。
リダイレクト先のWebサイトは2011年1月5日(米国時間)時点でまだ機能しており、ごく一般的なエクスプロイトキット「Phoenix」でパソコンへマルウエアを感染させようとしている。
ウェイジワークスは既に対応を済ませ、現在リダイレクトは行われていない。今回ウェイジワークス本体のWebサイト(http://www.wageworks.com/)はコード挿入の被害を受けなかった。同社は利用者が多いため、そうなっていたら深刻な事態になった可能性がある。
インストール用CAB/SFXファイルに潜むワーム
三つめは米マカフィーが解説しているワーム「W32/Xirtem@@MM」(Xirtem)である。様々な感染拡大策を持つワームで、2008年遅くに発見されて以降、急速に広まっているという(「Xirtem Worm Hides in CAB/SFX Files」)。
Xirtemは感染を拡大するために、自分自身のコピーをメールで送るほか、USBドライブ/メモリー内の自動実行ファイル「autorun.inf」や、P2Pネットワーク/ファイル共有を悪用するといった手口を使う。いずれも古典的な手法である。目新しいのは、ネットワーク上の共有フォルダーから実行可能ファイルを探し出し、CAB形式の自己展開型(SFX)インストール用アーカイブファイルを作る機能だ。このファイルには、感染パソコンに元からあったファイルとXirtemのコピーが入っている。
CAB/SFXファイルは、インストールに必要なファイルを圧縮するなどしてまとめたうえで、展開用の実行ファイルと一緒にアーカイブしたものだ。Xirtemの狙いは、通常のCAB/SFXファイルと同じアイコンでユーザーをだましてクリックさせることにある。パソコンに詳しくないユーザーだと引っかかりやすいし、対処も難しいだろう。
このCAB/SFXファイルは、実行されると自分自身を「%tmp%\IXP000.tmp\document.exe」としてコピーし、別の実行可能ファイル「NvMcTray.exe」(「Hiloti」)を%system%フォルダーに入れる。さらにHiloti用のDLLファイルにランダムな名前を付けて%windows%フォルダーに格納する。
こうした処理の実行中、タスクマネージャにはHilotiだけしか現れない。Xirtemはルートキット機能を備えており、タスクマネージャからプロセスを隠すことができるのだ。またXirtemはコマンドライン用CAB/SFXファイル作成ツール「IExpress」を使い、ネットワーク共有されている実行可能ファイルに感染する。こちらはHilotiプロセスでなく、Xirtemが別の隠しプロセスで行っているらしい。
