技術解析: Poul Jensen、図解: Ben Nahorney

Downloader.Chepvil は、最近あちらこちらの受信ボックスで発見されて話題になっているマルウェアです。この脅威は、無害そうに見える電子メールとして姿を現しますが、またたく間に強力な脅威へと姿を変え、情報を盗み出す、ミスリーディングアプリケーションをインストールする、侵入を果たしたコンピュータから自身の複製をメール送信するなどの複合的な機能を持つようになります。

ではまず、最初の電子メールの段階を見てみましょう。メールの本文は典型的な手口で、受信者が添付ファイルを開くように誘導するメッセージが書かれています。

電子メールの内容は頻繁に変更されますが、一例として、最近のメールには次のようなメッセージが書かれたものがあります。

Dear customer.（お客様各位）

The parcel was sent to your home address. And it will arrive within 3
business days.
（ご自宅宛てに商品を発送いたしました。3 営業日以内に到着予定です。）
More information and the tracking number are attached in document
below.
（詳しい情報と商品の追跡番号は、添付ファイルに記載されています。）

Thank you.（敬具）

添付されているファイルを実行してしまったら、一巻の終わりです。そこに潜んでいる Downloader.Chepvil が、たちどころに、はた迷惑なコンポーネントを呼び込むようになります。

ファイルを実行すると、暗号化された設定ファイルに対する要求が送信されます。ファイルのホスト先は、falconfly2006.ru というサイトです。Downloader.Chepvil には、追加のコンポーネントをインストールする命令が含まれています。

追加のコンポーネントは次のとおりです。

•    メーラー（Trojan.Asprox）
•    ハーベスター（Downloader.Chepvil の追加コンポーネント）
•    マネーメーカー（SystemTool）

以下の図は、このインストールプロセスを段階的に詳しく示したものです。

ここからがトラブルの本番です。Downloader.Chepvil が呼び込む迷惑な 3 つのコンポーネントには、どんな機能が備わっているか説明します。

メーラー:

Trojan.Asprox は、すでに 2007 年 6 月から検出されていますが、今回の攻撃ではあらかじめ作成されたメールを送信するように設定されています（初期の感染経路）。

Trojan.Asprox は、メール作成のための設定テンプレートを受信します。このテンプレートには、次のような情報が含まれていることが確認されています。

•    標的となる約 2,000 件のメールアドレス
•    メールに添付する Downloader.Chepvil のコピー
•    送信するメールのバリエーションを作成するための、偽装された「差出人」のアドレスと「件名」

この約 2,000 件のアドレスは、攻撃者が使えるリスト全体の一部です。類似のテンプレートが、侵入されて攻撃者の制御下に陥り、Trojan.Asprox コンポーネントを含んでいるすべてのコンピュータにも同時に送信されます。

次の表を見ると、このモデルがいかに拡張性に優れているかがわかります。

ハーベスター:

これは、広く情報を盗み出すコンポーネントで、メールアドレスやさまざまな資格情報を各種のアプリケーションから収集し、攻撃者のもと（falconfly2006.ru）へアップロードします。こうして盗み出される情報は、多くの意味で攻撃者に有益ですが、なかでも 2 つの点で非常に役に立つことになります。

1.    メールアドレスを使って、メール送信コンポーネントをさらに拡散させ、メール発信の段階でも実効的に大きくその攻撃範囲を広げる。
2.    盗み出した資格情報を使って、さらに別のサーバーに侵入し、SystemTool と Trojan.Asprox をホストさせてダウンロードできるようにする。

わずか 1 週間という短期間のうちに、Trojan.Asprox と SystemTool のコンポーネントをホストしていることが確認されたサーバーは 16 種にのぼりました。Downloader.Chepvil はこのように侵入先のサーバーを利用して、3 時間から 53 時間の間にマルウェアをアップロードします。

では、これほどまで労力を費やしている、その理由は何でしょうか。

マネーメーカー:

SystemTool はミスリーディングアプリケーションのひとつです。深刻なシステム妨害を引き起こし、コンピュータのステータス画面に誇張したレポートを表示します。最終目標は、ユーザーに一定の金額を支払わせ、「フル機能製品版」をインストールしてシステムの安定性とセキュリティを復元しようと試みさせることです。もちろん、そんな機能がないことは言うまでもありません。

Downloader.Chepvil の攻撃が SystemTool に対してペイパーインストールの料金を受け取っている可能性はありそうです。SystemTool コンポーネントが、しばらくすると収益目的のアプリケーションに変化するという可能性はもっと高いかもしれません。

全体は部分の和より大なり:

独立した複数のマルウェアを組み合わせて連携させると、以下のように非常に強力になる場合があります。

1.    設定可能なメーラーコンポーネントによって、Downloader.Chepvil をさらに拡散できます。
2.    設定可能な Downloader.Chepvil コンポーネントを使って、新たに侵入したコンピュータ上で複合的な脅威の環境を構築することが可能です。
3.    情報窃盗コンポーネントが盗み出したデータを自身にフィードバックし、上記 1 と 2 の段階に利用できます。こうして正のフィードバックループが出来上がるので、攻撃の各段階が進むごとに攻撃範囲は広がります。
4.    攻撃者はさらにネットワークを広げ、以下のような手口で攻撃の隅々から利益を上げられるようになります。
       •    ペイパーインストールのマルウェアをインストールする（現在すでに資金源となっている手法）。
       •    盗み出した情報を売り込む（今後の可能性）。
       •    拡散と並行して、Trojan.Asprox ネットワークをスパムにも利用する（今後の可能性）。

シマンテックは、この悪質な攻撃に厳重な警戒を続けていきます。当面の間は、セキュリティ保護製品を最新の状態に保ち、メールのリンクをクリックしたり添付ファイルを開いたりするときは十分に注意するようにしてください。

長文にお付き合いいただき、ありがとうございました。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。