新たな感染手口を備えたSIREFEF/ZACCESSが登場

　今回は新手のマルウエアに関するブログをいくつか紹介する。まず、トレンドマイクロが確認した「SIREFEF/ZACCESS」（別名「ZEROACCESS」）マルウエアの亜種について。同社はブログで注意を呼びかけた。

　同社は7月下旬に、顧客から「services.exe」ファイルが未知のマルウエアにパッチを当てられたとの報告を受けた。パッチを当てられたservices.exeはZACCESSマルウエアファミリーのコンポーネントであることが確認されたという。このシステムファイルを利用して、ZACCESSはマシンが再起動する際に別の不正コンポーネントを実行する。この亜種は、通常のルートキット機能を使うのではなく、ユーザーモードを悪用して不正なコードを密かにロードする点が新しい。

　詳細に分析したところ、トレンドマイクロはservices.exeのパッチに関係するメインの不正コード（「BKDR_ZACCESS.SMQQ」として検出）を特定したほか、感染手順に関わるすべてのコンポーネントも確認した。感染は、ユーザーが誤ってダウンロードする「K-Lite Codec Pack.exe」の実行で始まり、その結果services.exeが不正コードを埋め込まれて実行される。

ZACCESSの感染手順

　このマルウエアは、クラックツールやKeygenアプリケーション、またはゲームインストーラーにメインの不正プログラムを組み込むことで拡散する。ピアツーピア（P2P）アプリケーションを介してダウンロードされた動画の再生に必要なコーデックを装い、人気映画のタイトルを含むファイル名を使っている。

　以下はP2P経由でダウンロードされたバイナリーの一部。「%P2P DL folder%\」はダウンロード後のファイルを保存するP2Pフォルダーを指している。

　ダイレクトダウンロード経由でダウンロードされたバイナリーには以下のものがある。

　インストールされると、メインのZACCESSドロッパー（「BKDR_ZACCESS.KP」として検出）はユーザーの現在のアクセス権限を確認する。もし、ユーザーが管理者権限を有する場合、ドロッパーはインストール作業を継続する。管理者権限ではない場合、アクセス権限を昇格させてインストールを進める。ドロッパーがメインの不正コードを投下して実行すると、ユーザーアカウント制御（UAC）通知が画面に表示される。

　その際ZACCESSは、ユーザーが不正ファイルを不審なものと気づいてインストールを阻止することがないように、無害なFlash Playerインストーラー「InstallerFlashPlayer.exe」を実行してUACダイアログボックスをポップアップ表示させる。

　こうしてZACCESSはInstallerFlashPlayer.exeと悪質なファイル「msimg32.dll」（BKDR_ZACCESS.SMQQ）をユーザーのTEMPフォルダーに作成する。この手法はDLL検索順序に関する機能を悪用したもので、「バイナリープランティング」として知られている。InstallerFlashPlayer.exeが実行されるとそのプロセスアドレス空間に、ZACCESSの不正コードをロードさせる方法だ。

　デフォルトでInstallerFlashPlayer.exeが実行されると、Windowsはシステムフォルダーを探す前に、現フォルダー内にあるmsimg32.dllを検索する。ドロッパーが不正なmsimg32.dllをInstallerFlashPlayer.exeと同じディレクトリーに投下しているため、Windowsはオリジナルのコードの代わりに、この不正コードをロードする。

不正msimg32.dllをロードする仕組み

　ZACCESSはこのようにしてAdobeFlashPlayer.exeのUACダイアログボックスを表示するが、ユーザーは正規の通知だと思いこんでFlash Playerのインストールを継続する。しかし実際には、ZACCESSがバックグラウンドで密かに被害マシンに侵入する。

UACダイアログ

　トレンドマイクロの調査によると、ZACCESSの感染は2012年7月に急増している。特に7月14日から15日にかけては54.29％もの拡大を見せ、7月23日にも18.85％増加した。

7月のZACCESS感染数の推移

　国別感染件数は、米国が断トツで最も多く、日本、オーストラリア、英国と続いている。

ZACCESS感染の国別シェア