これまで、ファイル共有アプリケーションを使って他のコンピュータに広がる脅威は多く見られました。一般的に、このような脅威の手口は、侵入したコンピュータをスキャンして、これらのプログラムの共有フォルダを探し、存在する場合はその共有フォルダに、よく使われる検索ワード(人気のある海賊版ソフトウェア、ゲーム、クラックなど)を模倣した名前で自分自身をコピーするというものです。 W32.Changeup は既存のファイル共有アプリケーションをスキャンせず、通常とは異なる動作をします。eMule という有名なアプリケーションを実際にインストールし、そのアプリケーションを使って、ユーザー検索でよく使われる名前を模倣した数万個のファイル名でそのアプリケーションを共有させるのです。次に、もっと詳しく見ていきましょう。 感染 Changeup がコンピュータに侵入する方法はいくつかあります。これまでに、Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (Microsoft Windows でショートカットの LNK/PIF ファイルが自動的に実行される脆弱性)を悪用する方法、リムーバブルドライブやネットワークドライブを介して広がる方法のほか、P2P アプリケーションから知らないうちにダウンロードされる方法が確認されています(W32.Changeup の特徴の詳細については、以前のブログ記事をご覧ください)。通常、コンピュータにはまず非常に小さなサイズの実行可能ファイルが入り込み、この実行可能ファイルから Changeup C&C サーバーに接続して、データ本体(特に、Backdoor.Tidserv、Downloader.Harnig、Trojan.FakeAV などの系列の脅威)を追加ダウンロードします。 共有 データ本体が入り込んでも、ウィンドウは表示されず、脅威が活動している兆候も見られません。しかしプロセスリストを見れば、何が行われているかがわかります。 画像 1: データ本体がインストールされ、eMule がサイレント実行されています。 脅威がサイレントインストールされ、eMule が起動されています。共有中のファイルが格納されているフォルダを見ると、この脅威が何をしようとしているかは一目瞭然です。 画像 2: W32.Changeup は 45,079 個の異なるファイル名を使って(そのため、ほぼ 1 GB のハードディスクドライブ容量が浪費されます)、自分自身を共有しています。 W32.Changeup は主要なダウンローダコンポーネントを含む ZIP アーカイブを作成し、正規のソフトウェアやクラック、検索ワードによく使われるその他の名前を模倣したファイル名で、この ZIP アーカイブを 45,000 回以上コピーします。ZIP アーカイブには、通常のセットアップに見せかけた実行可能ファイルが含まれています。 画像 3: 共有アーカイブは、インストーラを含む通常のソフトウェアパッケージを装っています。 この setup.exe ファイルが W32.Changeup ダウンローダです。この実行可能ファイルは、すべての ZIP アーカイブで共通です。 共有 ZIP アーカイブが(ハッシュにおいて)同じファイルで、45,000 回コピーされた場合、eMule のファイル情報検索機能により、すべての異なる .zip ファイル名が結果として返されます。この結果から、このファイルが不正なものであることが明らかにわかります。W32.Changeup はこのような露見を避けるため、ZIP アーカイブの各コピーの最後にいくつかのランダムバイトを付加します。すべてのコピーに異なるジャンクバイトが含まれていると、各ファイルのファイルハッシュ(および eMule の検索で関連付けられるファイル名)は一意のものになります。この細工によっても、ファイルハッシュに基づく静的なウイルス対策の検知では、この脅威を捉えにくくなっています。 当初、W32.Changeup の拡散機能は限られていましたが、後には、できるだけ多くのコンピュータに広がるための戦略が採られました。Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (Microsoft Windows でショートカットの LNK/PIF ファイルが自動的に実行される脆弱性)を悪用するというものです。やがて、ウイルス対策で悪意ある .lnk ファイルが検知され、Microsoft 提供のセキュリティパッチで脆弱性が取り除かれるようになると、Changeup を引き続きすばやく拡散させるために新たな戦略に移行する必要がありました。このような場合、ワーム作成者は必ずと言っていいほどファイル共有を狙うのです。 最後にもう一度警告します。お使いのすべてのソフトウェアを更新し、ファイル共有ネットワークからダウンロードするときには注意を払ってください。