2 週間ほど前から Trojan.Milicenso の活動が活発化し、プリントサーバーに大量の印刷ジョブが送信されて、用紙が尽きるまで文字化けした内容が印刷される、という報告が相次いでいます。シマンテックの遠隔測定によると、特に報告件数が多いのは米国とインドで、ヨーロッパと南米の数か国がそれに続きます。Trojan.Milicenso が最初に出現したのは 2010 年のことで、シマンテックが最初に調査した限りでは、基本的にマルウェアを配信するための搬送手段です。その最新版に頻繁に付随しているペイロードが、フランス語圏のユーザーを標的とした Adware.Eorezo というアドウェアです。
図 1. 遠隔測定データによる被害地域の分布図
Trojan.Milicenso が標的のコンピュータに侵入する方法はさまざまで、悪質なメール添付ファイルや、悪質なスクリプトをホストする Web サイトなどが利用されています。Web サイトが機能するのは、ユーザーが迷惑メールに含まれるリンクをうっかりクリックしたときです。偽のコーデックとしてパッケージ化されていると思しきサンプルも大量に確認されています。
Trojan.Milicenso は、ドロッパー型の実行可能ファイルを作成して実行します。そこからさらに DLL ファイルが %System% システムに作成されると、ドロッパーは自身を削除します。作成されるファイルの名前を以下に挙げます。
- %System%\[ランダムなファイル名].exe
- %ProgramFiles%\[既存のフォルダ名]\[ランダムなファイル名].exe
- %Temp%\[ランダムなファイル名].exe
- %System%\[ランダムなファイル名].dll
- %ProgramFiles%\[既存のフォルダ名]\[ランダムなファイル名].dll
- %Temp%\[ランダムなファイル名].dll
投下される DLL の本体は厳重に暗号化されているため、解析がよけいに難しくなっています。しかも復号鍵そのものが、感染したコンピュータごとに重複しない値を使って暗号化されています。この場合、重複しない値は長さ 16 バイトで、System フォルダと System Volume Information フォルダの作成時刻を使って生成されます。メインの DLL 復号鍵は、この重複しない値を使って暗号化され、DLL ファイルに埋め込まれます。この鍵は、暗号化された実行可能ファイルで置換ボックスを実行する際に使われます。このように RC4 暗号が使われているほかにも、特筆すべき点があります。それは、実行環境が仮想マシンや既知の公開マルウェアサンドボックス、あるいは
ThreatExpert のようなブラックボックス化サイトに関係しているかどうかを判別するための専用ルーチンもいくつか存在するということです。
図 2. サンドボックスと仮想環境チェック
Trojan.Milicenso は、仮想マシン環境に関係することがわかっている特定のシステムドライバがあるかどうかも調べます。
図 3. 仮想マシンドライバのチェック
ここで本当に注目すべきなのは、サンドボックスの検出やチェックのルーチンはほとんど、マルウェアが自身を秘匿したり、解析を妨害したりするための保護メカニズムとして使われているという点です。そして、サンドボックスがあることを検出した場合に、Trojan.Milicenso は活動を停止するどころか、サイトへの接続など所定の活動を実行します。これらの活動は Adware.Eorezo と関連しており、アドウェアをおとりにして自身から注意をそらし、マルウェア解析を逃れようとしているものと見られます。アドウェアに分類されれば危険度が低いと見なされ、放置されるからです。
実行されると、Trojan.Milicenso は System フォルダと System Volume Information フォルダの作成時刻を取得して重複のない値を生成します。これは、Trojan.Milicenso がインストールされるときに実行されるのと同じ処理です。この重複しない値を使ってメインの復号鍵が復号され、さらにその復号鍵を使って Trojan.Milicenso の本体が復号されて実行されます。
図 4. Trojan.Milicenso が使う重複のない値の例
Trojan.Milicenso は情報を収集したうえで暗号化し、HTTP GET 要求のファイル名にエンコードされているリモートの攻撃者に宛てて送信します。要求を受けてサーバーから返されるファイルは、暗号化された悪質なコードです。
図 5: サーバーから送信される暗号化された悪質なコード
Windows を起動するたびに実行されるように、以下のレジストリエントリが作成されることもあります。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[ランダムな値]" = "[トロイの木馬の実行可能ファイルへのパス]"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[ランダムな値]" = "[トロイの木馬の実行可能ファイルへのパス]"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[ランダムな値]" = "[トロイの木馬の実行可能ファイルへのパス]"
情報の格納に使われるのは、以下のレジストリサブキーです。
- HKEY_LOCAL_MACHINE\SOFTWARE\[ランダムな値]
- HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia
- HKEY_CURRENT_USER\ Software \Microsoft\Multimedia
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
投下されるファイルの 1 つが Aware.Eorezo として識別される実行可能ファイルであり、以下のサイトからダウンロードされるいずれかのファイルと同一です。
- [http:]//storage1.static.it[削除済み]
- [http:]//storage5.static.it[削除済み]
このファイルは Agence Exclusive が所有する証明書を使ってデジタル署名されていますが、証明書は 2012 年 1 月に失効しているので、デジタル署名の検証は失敗します。現時点で、Agence Exclusive が存在する証拠は確認できていません。なくなってしまったのかもしれませんし、そもそも存在しなかった可能性もあります。投下される実行可能ファイルの目的はひとつだけで、URL を復号して ShellExecute コマンドを実行し、エクスプローラのプロセスを開始して、復号された URL を開かせることです。
アクセス先は以下の URL です。
ads.alpha[削除済み]
このドメインは、広告関連の他の URL にリダイレクトし、そこから別の広告 URL にリダイレクトして、最終的にはランダムなサイトがブラウザで開きます。調査したところ、連続リダイレクトの最後に表示されるのはフランス語のサイトでした。
まず、感染の段階で、[ドライブ文字]\system32\Spool\PRINTERS\[ランダム].spl という .spl ファイルが作成されます。Windows の印刷スプーラディレクトリは、デフォルトでは %System%\spool\printers です。
作成される .spl は、一見したところ通常の印刷スプールファイルです。実際には、Adware.Eorezo として検出される実行可能ファイルなのですが、設定によっては、スプールフォルダに作成されたファイルは、バイナリファイルも含めて何でも印刷ジョブを実行します。感染したコンピュータで何枚も不要な印刷が実行されたと報告されているのは、これが原因です。これまでに確認された事実から考えると、文字化けが印刷されるのは攻撃者が意図した結果ではなく、感染経路による副作用のようです。
シマンテックは、この脅威に関連する新しいサンプルの解析を続け、必要に応じて保護の対象を更新する予定です。こうしてレポートを作成している間にも、Trojan.Milcenso の新しい亜種について
SANS が続報を投稿したという知らせが飛び込んできました。この亜種は、検出をすり抜けるために実行可能ファイルに無意味なデータを埋め込んで更新されています。このことから、Trojan.Milcenso の作成者は依然として不正ソフトを拡散させようと必死であることがわかります。シマンテックももちろん、それ以上の必死さで遮断に努めています。いつものように、一般的なセキュリティ対策(ベストプラクティス)に従ってセキュリティ製品の定義を最新の状態に保ってください。
保護
シマンテックは現在、以下のウイルス定義で、Trojan.Milcenso に伴うファイルを検出しています。