Video Screencast Help
Security Response

Sality が LNK を悪用

Created: 09 Aug 2010 10:32:45 GMT • Translations available: English
Nicolas Falliere's picture
0 0 Votes
Login to vote

数カ月前、2 つのブログエントリ(こちらこちら)で W32.Sality の特徴について説明しました。この有名なウイルスは、Windows 実行可能ファイルに感染することで増殖します。さらに、感染したコンピュータは完全に分散したピアツーピアネットワークを構成し、ボットが悪質なファイルをダウンロードして実行する場所の URL に関するデジタル署名パッケージを広めるのに使用されます。LNK の脆弱性(BID 41732)が発見された結果(最初は Stuxnet により利用されました)、マルウェアの作者は作成物を増殖させる安価で簡単で効率的な方法を手に入れることになりました。

Sality の作成者集団は、それほど時間を費やすことなく、8 月に入ってすぐ勢いに乗りました。しかし、より多くのコンピュータに感染できるようにボットネットを利用することにしたのはつい先週末のようです。Sality によりダウンロードされた最新のパッケージ(シーケンス ID 122)は、Sality 標準のハッキングツール(メール中継、HTTP プロキシ)を含むいくつかの URL だけでなく、Sality 自体のドロッパも参照しています。

パッケージ 122 で見つかった悪質な URL は次のとおりです。

  • [http://]www.chintours.com/images/log[削除済み]
  • [http://]sioclan.si.funpic.de/images/log[削除済み]
  • [http://]chombueng.com/images/log[削除済み]
  • [http://]chantinmobile.com/images/log [削除済み]
  • [http://]pring.w.interia.pl/gif/log[削除済み]
  • [http://]mstroit.com/images/log[削除済み]
  • [http://]www.birlik-ticaret.com.tr/images/log[削除済み]
  • [http://]oneasiaproperty.com/images/log[削除済み]
  • [http://]www.bikeguy.temp.ntwebb.com/images/mohnatay[削除済み]

このドロッパは、利用可能なネットワーク共有を列挙し、各共有上に .dll ファイルを作成しようとします("z[16 進数].tmp" という一部ランダムな名前が付けられます)。さらに、共有のサブディレクトリを再帰的にリストし、各サブディレクトリ内に BID 41732 を悪用するリンクファイルを作成しようとします。LNK ファイルは、Sality の暗号化されたコピーが含まれる .dll ファイルをロードするようにカスタマイズされます。.lnk ファイルの名前は、共有で見つかった既存のファイルに拡張子 .lnk が付けられる場合や、次のように、害のない名前や性的なものを示唆する名前のハードコード化された一連のファイル名からランダムに選択される場合があります。

  • Copy of New Folder.lnk (コピー ~ 新しいフォルダ.lnk)                
  • Copy of New File.lnk (コピー ~新しいファイル.lnk)                  
  • Copy of Shortcut.lnk (コピー ~ ショートカット.lnk)                  
  • New Shortcut.lnk (新しいショートカット.lnk)                      
  • New Folder.lnk (新しいフォルダ.lnk)                        
  • Shortcut.lnk (ショートカット.lnk)                          
  • Drivers.lnk                             
  • Anna Benson Sex video.lnk               
  • Kick_Ass.avi.lnk                        
  • Jenna Elfman sex a*** de********.avi.lnk
  • Miss America Porno.lnk                  
  • Porno Screensaver.lnk                   
  • Serials.lnk                             
  • Barrett Jackson nude photos.lnk         
  • Britney Spears XXX.lnk                  
  • Paris Hilton XXX Archive.lnk            
  • XXX hardcore.avi.lnk                    
  • XXX archive.lnk                         
  • groom.avi.lnk                           
  • Fotograf.lnk                            
  • Photoalbum.lnk                          
  • My photoalbum.lnk                       
  • Myphotos.lnk                            
  • My photos.lnk                           
  • My beautiful person.lnk                 
  • beautiful.lnk                           
  • Gallery photos.lnk                      
  • caroline.avi.lnk                        
  • Katrina.avi.lnk                         
  • kleopatra.avi.lnk                       
  • P****.avi.lnk                           
  • Mary-Anne.lnk                           
  • Lisa.jpg.lnk                            
  • Bad girl.jpg.lnk                        
  • Julie.lnk                               
  • Aline.lnk                               
  • Anna.jpg.lnk                            
  • Barbi.jpg.lnk                           
  • Katrina.lnk                             
  • Juli.jpg.lnk                            
  • Mary.lnk                                
  • Mandy.lnk                               
  • Sara.lnk                                
  • rebecca.jpg.lnk                         
  • Jammie.lnk                              
  • kate.lnk                                
  • Audra.lnk                               
  • stacy.lnk                               
  • Rena.lnk                                
  • Kelley.lnk                              
  • Tammy.lnk                               
  • Picture.lnk                             
  • My Photos.lnk                           
  • Photoalbum.lnk                          

幸いにも、Microsoft が先週パッチを公開したため、この攻撃の影響は大幅に防ぐことができます。繰り返しになりますが、ウイルス対策ソフトウェアを常に最新の状態に保ち、この危険な脆弱性に対するパッチをオペレーティングシステムに正しく適用することをお勧めします。