W32.IRCBot.NG と W32.Phopifas

以前のブログで、同僚の Kevin Savage 氏がインスタントメッセージアプリケーションを利用するソーシャルエンジニアリング攻撃の詳細を報告しました。W32.IRCBot.NG と W32.Phopifas の観測数は峠を越えているとはいえ、そのモジュールは日々更新され続けています。

これらの脅威が発見されて以来、その感染プロセスに変化はありませんが、ダウンロードに使用される新しいファイルホスティングサイトが追加されています。W32.IRCBot.NG は、侵入先のコンピュータから、ファイルホスティングサイトにログインするためのパスワードを盗み出そうとします。また、仮想サーバーサービスのサーバー上にモジュールがいくつか格納されており、残念なことに悪質な URL の 1 つがあるランキングサイトでトップ 100 のダウンロードサイトに含まれています。さらに、新しい言語も追加され、現在では 32 種類の言語が使用されています。使用される言語は、侵入先のコンピュータの所在地に応じて異なります。

特定のマイナーなパッカーを使用

通常、感染が大きく広がるマルウェアは、不明瞭化されたパッカーをランダムに使用し、かつパッカーのタイプを定期的に変更しているものですが、今回の攻撃では、特定の 1 つのパッカーが両方のマルウェアで 1 週間に渡って使用されています。そのパッカーの第 2 層には、次のような命令コードが含まれています。

このコードでは、LoadLibrary API を使って WakeUpRage.dll のロードに失敗した場合にだけ、悪質な活動を継続して実行するよう指定されています。つまり、マルウェアは、この DLL ファイルが存在しないコンピュータでしか動作しません。つまり、このファイルの目的は、マルウェア作成者のコンピュータ上ではマルウェアの実行を停止することのようです。

特に目新しいことではありませんが、コンピュータの動作環境に応じて活動内容を変化させているわけです。このパッカーは、9 月に発見されたものですが、W32.Yimfoca.B、W32.IRCBot、Downloader など、複数の亜種で使用されています。ただし、広く普及しているものではなく、マイナーなパッカーのようです。マルウェア作成者は、テストを何度か実施してから、今回の攻撃に及んだ可能性があります。

いずれにせよ、悪質なリンクが含まれたメッセージは、マルウェアを拡散する方法として新しいものでも固有のものでもありませんが、マルウェアが自身を拡散させるには効果的な方法です。インターネット上でリンクをクリックする際は常に注意を払い、ウイルス対策アプリケーションは最新の状態にするようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。