Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

プーチン大統領再選に対する抗議行動を狙うマルウェア

Created: 08 Mar 2012 09:11:33 GMT • Translations available: English
Stephen Doherty's picture
0 0 Votes
Login to vote

寄稿: Pavlo Prodanchuk

ウラジミール・プーチン氏がロシア大統領に返り咲いたことに対して抗議集会を呼びかける、という内容のスパムメールが 3 月 5 日から出回り始めました。反プーチン派のデモの詳しい予定が記されていると称したファイルが添付され、メールの件名には決起を訴える言葉が並んでいます。

  • "All to demonstration"(デモに参集を)
  • "Instructions what to do"(デモ行動の手引き)
  • "Meeting for the equal elections"(公正な選挙を求める集会)

送信されたサンプルメールを以下に示します。

ファイル名: Инструкция_митинг.doc(Instructions_rally.doc)
件名: Instructions - what to do at the meeting(集会における行動の手引き)
本文: Instructions of your actions on rally against Putin(反プーチン抗議集会の手引き)

メール本文は 1 行しかなく、「反プーチン抗議集会の手引き」あるいは「全員が統一行動をとれるように、集会の当日は自分が何をすべきかしっかり確認してください」といった内容が添付文書に載っていると書かれているだけです。いずれも、先日の選挙結果をめぐる人々の好奇心を刺激することを狙った内容であり、ユーザーが悪質な添付ファイルを開くように誘導を試みています。

この添付文書は Trojan.Dropper として検出され、悪質なマクロを含んでいます。このマクロは、暗号化された実行可能コンポーネント(検出名 Trojan.Gen)を投下して実行します。無防備なユーザーがこの文書を開くと、予定されている反プーチン抗議集会の詳細が表示されるように見えます。

文書を開くときにマクロが有効になっていると、以下の拡張子のファイルを検索してすべて上書きするという、きわめて悪質なトロイの木馬が実行されます。その後これらのファイルは削除されてしまうため、たとえハードディスク解析ツールを使ってもファイルを復元することは困難です。

  • .7z
  • .doc
  • .exe
  • .msc
  • .rar
  • .xls
  • .zip

このトロイの木馬は IP アドレス 193.104.153.31(解析の時点ではすでに停止していました)への接続を試み、そこには悪名高い Trojan.Smoaler へのリンクが仕込まれています。Smoaler は最近、surero48421.ru というドメインをコマンド & コントロールサーバーの一部として利用していましたが、その Web サイトは以前、この IP アドレスに解決されていました。このトロイの木馬の機能は、これで終わりではありません。上記のファイルをすべて上書きして破壊した後、RtlSetProcessIsCritical API を呼び出してコンピュータをクラッシュさせる(ブルースクリーン状態にする)コードを実行するのです。

スパムの観点から言うと、この攻撃はきわめて異例です。その最大の理由はサイズにあります(平均 500 KB 以上)。ほとんどのスパムメッセージは 10 KB を超えません(たとえば、最新のシマンテックインテリジェンスレポートによると、2 月に検出された全スパムメッセージのうち 56% は 5 KB 未満、30% は 5 ~ 10 KB であり、10 KB を超えるものはわずか 13% にとどまります)。

次のグラフは、今回のスパムメールの捕捉数の推移を示したものです。

この攻撃が始まった 3 月 5 日月曜日の早朝に、シマンテックの全世界のハニーポットネットワークから得られた情報に基づき、自動化シナリオによってシグネチャルールが作成されました。

いつものことですが、ファイルが添付されている迷惑メールには十分に注意してください。今回のロシア大統領選結果のように、最新のニュースが悪用される恐れがあります。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。