Trojan.Sasfis の脅威の概略

Trojan.Sasfis は新しいものではなく、今年の最初くらいから出回っていますが、最近になって送信量の増加が確認されています。この脅威が侵入先のコンピュータに対して行うアプローチはほぼ一定しており、スパム活動を通じて送信される電子メールの添付ファイルの形をとっています。このとき使われる名前はごく現実的で、Amazon_Tracking_Number_N[ランダムな数字][長い空白文字]DOC.exe や iTunes_certificate[ランダムな数字].exe といった名前になっています。最近の Trojan.Sasfis 電子メールには、Changelog_[日]_[月]_2010.zip と Changelog_[日]_[月].2010.PDF.zip というファイルが添付されています。この 2 つの .zip ファイルには、それぞれ .doc ファイルと .pdf ファイルが含まれていますが、実際は見かけどおりではありません。これらのファイルは実際には実行可能ファイルで、.pdf/doc と実際の拡張子である .exe の間には非常に長い空白文字が入っています。

この電子メールのサンプルをいくつか示します。

Trojan.Sasfis は、本質的にはバックドアを利用するトロイの木馬であり、悪質なホストからコマンドを受け取ってさまざまな処理を実行します。これまでに確認されたなかでは、ミスリーディングアプリケーションをダウンロードしてインストールするのが最も一般的です。

Sasfis がインストールしようとするミスリーディングアプリケーションの例を次に示します。

感染したコンピュータでこれほど多くの脅威が実行されていれば、処理がきわめて遅くなることは間違いありません。たしかにそのとおりですが、実際の理由はもちろん、これらすべての脅威に感染しているからではありません。次のスクリーンショットでわかるように、ミスリーディングアプリケーションの実行中（setup715newver0015.exe というプロセスとして）には、CPU リソースが 94% も消費されています。コンピュータが遅くなるのは当然です。

自身を正規のアプリケーションとして偽装するために、Trojan.Sasfis は自身を iexplore.exe や svchost.exe などの一般的なプロセスにインジェクトします。この隠蔽機能によって、ファイアウォールをすり抜けることが可能になります。

いつものことですが、送信元や内容が確実に判明しているのでない限り、添付ファイルは開かないようにしてください。

詳しくは、Trojan.Sasfis の説明を参照してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。