最近、W32.Yimfoca.B についてのブログを書きましたが、それ以後 W32.Yimfoca も改変をしていることが明らかになりました。W32.Yimfoca.B はインスタントメッセージアプリケーションを通じて感染を広げますが、いったんインストールされると、W32.Yimfoca をダウンロードしてインストールします。W32.Yimfoca の最新バージョンは Facebook ユーザーを標的にしており、アカウントにアクセスするにはアンケートに回答するように促します。
Facebook にアクセスすると、サイトにアクセスするためにアンケートに入力するように求めるメッセージが表示されます。表示されるメッセージは次のとおりです。
Complete one of these surveys to gain access this page. Otherwise you will not have access to this page.(このページにアクセスするには、次のアンケートの 1 つに回答してください。回答しない場合には、このページにアクセスできなくなります。)
ユーザーがアンケートに入力している間は読み込み中のダイアログが表示されます。アンケートに入力すると、サイトにアクセスできるようになります。表示されるメッセージは次のとおりです。
You have only 3 minutes to fill out the selected survey or you will not have access to your account(選択したアンケートに 3 分以内に回答してください。これを過ぎるとアカウントにアクセスできなくなります)
以前には、次のようなメッセージが使われていたこともあります。
You have only 3 minutes to fill out the selected survey or you will be banned from this site(選択したアンケートに 3 分以内に回答してください。これを過ぎるとこのサイトの利用が禁止されます)
これらのメッセージは、暗号化された設定ファイルを使って更新できるようになっています。私たちは、この設定ファイルの解読に成功しました。
暗号化された設定ファイルには、複数の Web サイトへのリンクも含まれています。このリンク先の Web サイトでは、コンテンツにアクセスする前に、さらに多くのアンケートへの回答を促すメッセージが表示されます。アンケートの表示内容は、ユーザーがブラウザに入力したキーワードに基づいて変えることができます。
アンケートに入力しなかったユーザーは、W32.Yimfoca が実行されている間、サイトから締め出されます。つまり、W32.Yimfoca がユーザーのコンピュータで実行されていて、そのユーザーがアンケートに回答しなかった場合には、facebook.com へのアクセスが遮断されてしまいます。このマルウェアが再起動するたびに状態がリセットされるため、再起動後などにアクセスしようとすると、アンケートの入力を促すメッセージが再び表示されることになります。
アンケートに回答しなかった場合、次のようなメッセージが表示されます。
You do not have access to you account because you do not complete any survey. Please come back later and tray again(アンケートに回答していないため、お使いのアカウントにはアクセスできません。後でもう一度試してください)
このメッセージは、コンピュータを再起動しないと消えないため、侵害されたコンピュータのユーザーはアンケートに入力しないかぎり、事実上、Facebook のアカウントから締め出されます。
アンケートを利用したスパムは新しいものではありませんが、この独特な手法はこれまでのマルウェアには見られなかったものです。
このアンケートは cpaleads.com が実施しているもので、同社のプロモーションビデオでは、回答したアンケート 1 件ごとに最大 1 ドルの報酬が得られると謳っています。このアンケートを利用したスパムによって、攻撃者たちは暴利をむさぼることができるのです。
このマルウェアは Internet Explorer を対象にしているため、それ以外のブラウザから Facebook にアクセスしてもアンケート画面が表示されることはありません。その場合でも、この脅威を駆除する最新のウイルス定義を入手するようにしてください。また、Facebook の自動化システムでは、侵害されている可能性があるアカウントを検出して、そのアカウントを修正ステータスにすることができます。つまり、対象となるユーザーがログインして適切なセキュリティ情報を確認するまでは、そのアカウントは利用できないことになります。さらに、Facebook では、このマルウェアに関連するリンクをユーザーが共有できないよう遮断しています。
通常、マルウェアやアンケートを利用したスパムは、ソーシャルエンジニアリングの手法を利用して、ソフトウェアを標的のコンピュータにインストールしたり、悪質なリンクをユーザーにクリックさせたりします。インスタントメッセージを通じて相手から予期しないリンクを受け取ったときには、それが感染を広げるマルウェアへのリンクでないか常に確認するようにしてください。ソーシャルネットワーク、電子メール、インスタントメッセージなどを通じて、信じ難いほどうまい話を勧めるリンクを受け取ったときは、大抵は悪質なものだと考えていいでしょう。