セキュリティ組織の米SANS Instituteは現地時間11月15日,ウイルス(マルウエア,悪質なプログラム)を使った新たな攻撃手法が確認されたとして注意を呼びかけた。ウイルス対策ソフトを回避したり,ウイルスが仕込まれたマシンの場所(地域)を把握したりする“工夫”を凝らしているという。後者については「Googleマップ」を利用する。

 ウイルス作者(攻撃者)はまず,ウイルスを添付したメールを不特定多数に送信する。添付ファイルはZIP形式の圧縮ファイルで,JPEG画像に見せかけた実行形式ファイルのウイルスが仕込まれている。このウイルスは「ダウンローダ」と呼ばれるプログラムの一種。ユーザーがだまされて実行すると,インターネットから別のマルウエアをダウンロードして実行する。

 ここまでは,最近のウイルス作者の常套手段。めずらしくはない。

 今回報告されたダウンローダは,実行されると別のダウンローダをダウンロードおよび実行する。このダウンローダは,ユーザーのキー入力情報を盗む「キーロガー」などのほか,複数のウイルスを同時にダウンロードして実行する。これらのウイルスは全く同じ機能を持つものの,プログラムの中身がそれぞれ若干変えられているという。

 目的は,ウイルス対策ソフトの回避。プログラムをわずかに変えたウイルスを多数ダウンロードさせることで,対策ソフトに検出されずに実行される可能性を高めている。たとえいくつかは検出・駆除されても,1つでも“生き残れば”ウイルス作者としては十分なのである。

 実行されたウイルスは,Windowsファイアウオールを無効にするとともに,Windowsが備える「セキュリティセンター」の機能を使えないようにする。その後,ウイルス作者が用意する“C&C(Control&Command)サーバー”に接続して,命令を待つ。一般的なボットの場合には,C&CサーバーはIRCサーバーであることが多いが,この場合のC&CサーバーはWebサーバー。このサーバーからは,それぞれのウイルスに対して,新たなモジュールをダウンロードするよう命令が送られる。

 また,このサーバーには,あるFTPサーバーのIPアドレスと,そこへアクセスするためのユーザー名とパスワードが置かれている。ウイルスは同時にインストールされたキーロガーが記録したログ(キー入力情報)をそのFTPサーバーへアップロードする。

 ログをアップロードしたウイルスは,次に,C&Cサーバーとは別のサーバーにアクセスして,自分が動作(感染)しているマシンのIPアドレスを送信する。すると,そのサーバーに置かれたスクリプトはGoogleマップを利用して,そのマシン(IPアドレス)のおおよその場所を割り出してウイルス作者に伝える。

 現時点では,今回のウイルスは,感染マシンの情報を収集するだけのように見えるという。今回確認された手口では,マシンの場所(ユーザーの住所)がある程度を割り出されるので,今後,この情報がスパム送信者の手に渡り,送られてくるスパムの量が増える可能性がある。

 今回の情報を掲載したSANS Instituteのスタッフは,「Googleマップを使うなど,ウイルス作者は“クリエイティブ”になっているように見える」とコメントしている。併せて,今回のように一度に多数のウイルスを仕込まれてしまった場合には,OSを再インストールするしかないだろうとしている。

SANS InstituteのHandler's Diary