偽ウイルス対策ソフトの感染経路-3

インターネットに出回っているトロイの木馬の中で、その主流を占めるものの一つとして、偽警告メッセージを発生させるものがあります。このマルウェアは、PCに偽物の悪質なウイルス対策ソフトをインストールさせようとするものもあります。今回はそのマルウェアについて、最初の攻撃用のWebページから、最後に感染するまで、一連の感染経路について観察してみます。

このマルウェアが使用する手口としては、以下のような手順になっています。

  1. マルウェアをホスティングする攻撃用Webページ
  2. ブラウザヘルパーオブジェクト(BHO)
  3. 悪質な偽ウイルス対策ソフト用ダウンローダ
  4. パソコンが悪質な偽ウイルス対策ソフトに感染

感染経路の最初は、マルウェアホスティング用の悪質なWebページです。ユーザーは、メールやインスタントメッセージに記載されているリンクなどのソーシャルエンジニアリング攻撃や、悪事と無関係だが汚染されたWebサイトのリダイレクトに誘導されて、攻撃用Webページを訪れます。このようなリンクを1回でもクリックすると、感染が始まります。

ユーザーは、マルウェアをホスティングしているWebページで、何らかのソーシャルエンジニアリング攻撃を受けて、PCに実行ファイルをダウンロードしてしまいます。

このようなWebサイトにアクセスすると、「Windows Media Player」用コーデックプラグインというタイトルの「wmcodec_update.exe」をダウンロードするよう求められます。この偽プラグインファイルの正体は、多機能ドロッパという種類のマルウェアであり、仮にダウンロードせずに放置していると、繰り返しメッセージボックスが表示されます。

プラグインファイルをダウンロードして実行すると、以下のような偽エラーメッセージが現れます。

プラグインファイルの出すエラーメッセージ

このプラグインファイルはマルウェアとして動作を続け、BHOと悪質な偽ウイルス対策ソフト用ダウンローダを入手します。

次にBHOでは、Webブラウザが汚染されます。汚染の影響で、例えばWebブラウザで実行する検索処理が乗っ取られて別の攻撃用Webページへのリンクを挿入される、といった被害に遭遇します。以下に掲載した二つの画像は、「正常な」検索結果ページと、BHO感染で攻撃用Webページへのリンクが挿入された検索結果ページの違いを示すものです。攻撃用Webページがどれか分かるように、一つだけ赤で囲いました。

BHO未汚染のWebブラウザが表示するURL
汚染前の検索結果ページ

BHO汚染済みWebブラウザが表示する攻撃用WebページのURL
偽の検索結果ページ

スパイウェアは、BHOを使用してユーザーのWeb閲覧状況を調べるものが多くあります。このようにして得られた情報は、検索キーワードと関連性の高い広告をポップアップ表示するマルウェアなどに利用されるようになります。

その次は、悪質な偽ウイルス対策ソフト用ダウンローダが表示されます。ここでユーザーは、PCのデスクトップ上でポルノサイトにリンクしている二つの雑誌を目にします。

偽雑誌

この「偽」ダウンローダは、ユーザーに断りなく偽アプリケーションをダウンロードします。ユーザーのPCは、最終的に偽アプリケーションに感染してしまします。そして、この偽アプリケーションは、偽物の警告メッセージを表示します。

偽物の警告メッセージ

偽アプリケーションの出す検査レポートには、大げさかつ嘘の内容が書かれています。

検査レポート

このアプリケーションの出す偽の警告メッセージは、実在しない脅威を誇張し、PCの「修復」に必要な製品を購入するようユーザーを促すことが目的です。

偽物のアクティベーション画面

偽物の登録画面

このようにマルウェアをホスティングする攻撃用Webページや多機能ドロッパ、BHO、ダウンローダ、偽警告メッセージが協調して、最終的にユーザーをターゲットにします。

これらの攻撃に対処するためには、メッセージボックスを閉じる隙も与えず無限に表示し続ける偽プラグインファイルのダウンロードを、未然に防ぐことが重要です。OSのタスクマネージャで、怪しいメッセージを表示しているようなプロセスを停止すると良いでしょう。また、メール内のリンクに注意することも重要です。知らない人からのメールやインスタントメッセージに記載されているリンクは、特に注意が必要です。パソコンをマルウェア感染から守るには,何よりもまず「安全なWeb閲覧」を習慣にしなければなりません。

関連記事

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Fake-Alert Tour Driven by Malware Team

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速