ニワトリが先か卵が先か。この命題を哲学者も科学者も古くから論じてきました。先週、セキュリティレスポンスは W32.Changeup の検出数が増加していることを確認しました。Changeup は侵入先のコンピュータに別のさまざまな脅威をダウンロードすることがわかっていますが、肝心な点が解明されていません。つまり、W32.Changeup 自体はそもそもどうやってコンピュータに侵入するのかという疑問です。
他のベンダーは最新版の Changeup がソーシャルネットワークサイトを通じて拡散していると指摘していますが、シマンテックセキュリティレスポンスは、このワームの感染源を 1 つ特定することに成功しました。
最近確認されたこの悪質なスパム(図 1)は、金融機関からの安全確認メッセージが記載されていると称して、添付のファイルを開いて実行するようユーザーに指示しています。添付されている securedoc.html.zip は、実際には実行可能ファイルで、シマンテックはこれを Downloader.Ponik として検出します。
図 1. Downloader.Ponik が添付されたスパム
ユーザーがこのファイルを実行すると、Downloader.Ponik はいくつかの URL への接続を試み、ピアツーピア型の Trojan.Zbot(Gameover)を探してダウンロードしようとします。そして Trojan.Zbot が、W32.Changeup をダウンロードして実行します。
図 2. Downloader.Ponik 攻撃の手順
シマンテックは、Ponik、Zbot、Changeup のそれぞれからお客様を保護するために、ウイルス対策定義と侵入防止システムのシグネチャを用意しています。
ウイルス対策定義
侵入防止システムのシグネチャ
最新のウイルス対策定義と侵入防止シグネチャを利用するとともに、各企業は電子メールの添付ファイルをダウンロードしないよう従業員に警告することをお勧めいたします。 W32.Changeup はネットワーク共有とリムーバブルドライブにも拡散しますが、ピアツーピア型の Trojan.Zbot をダウンロードすることも確認されているので、両者は侵入の順番が逆になることもあります。そうなると、Changeup の最近の検出数増加を後押しした力が、実際にはピアツーピア型 Trojan.Zbot の拡散にも一役買っている可能性が高いと考えられます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。