Video Screencast Help
Security Response

新年の挨拶に便乗する W32.Waledac.B

Created: 06 Jan 2011 09:06:42 GMT • Translations available: English
Suyog Sainkar's picture
0 0 Votes
Login to vote

2010 年末から、マルウェアの配布を目的とした最新のスパム攻撃が確認されています。多くのインターネットユーザーは、年が明けるとともに電子メールやオンラインのグリーティングカードサービスを使って友人や家族に新年を祝うメッセージを伝えます。スパマーはこの習慣を利用しています。このスパム攻撃で使われる電子メールメッセージには、新年の挨拶が書かれた電子カードが含まれているように見えますが、実際には悪質なコードが配布されているのです。

このスパム攻撃では、以下のような件名が確認されています。

件名:  New Year Ecard Notification新年の電子カードのお知らせ
件名:  Have a funfilled and blasting NewYear!謹賀新年
件名:  Welcome 2011!(ついに2011 年が幕を開けました!
件名:  Happy 2011 To U!2011 年あけましておめでとうございます!
件名:  Sparkling wishes on the New Year新年のご挨拶
件名:  Happy New Year Wishes!新年あけましておめでとうございます!
件名:  Have a Happy New Year!あけましておめでとうございます!
件名: New Year 2011 Ecard Special Delivery2011 年の幕開けを祝う特別な電子カード

メッセージは、本文のリンクをクリックして電子カードを表示するように促します。電子カードを表示しようとしてリンクをクリックすると、「install_flash_player.exe」という実行可能ファイルをダウンロードしてインストールするように求められます。この電子メールのリンクに隠されているマルウェアのペイロードを利用して、W32.Waledac.B が実行されることになります。攻撃元のコンピュータはウクライナにあり、IP アドレスは 91.204.48.50:80 であることがわかっています。
 

 


 
スパムのメッセージ本文に記載されている多くの URL には、最近作成された、中国で登録済みのドメインが使用されています。以下に、スパムのメッセージ本文に記載されている URL の例を示します(セキュリティ上の理由から URL の一部を伏せています)。

hxxp://jXXh.scypap.com/?card=24aadeXXXXX7ed649d4654
hxxp://uXXctr.bitagede.com/?card=9ee877XXXXX0dc11c5b04015038
hxxp://dXXht.leolati.com/?cardnum=7abe4aXXXXX34843690cd36de05b1
hxxp://aXXq.elberer.com/?cardnum=2c1XXXXX67

スパム攻撃を受けて上記のいずれかのリンクをクリックすると、マルウェアを配布する攻撃元のコンピュータに転送されます。攻撃に使用される URL のドメイン名は [ドメイン].co.cc という形式をとります。

上記のスパム攻撃が行われたのは 2011 年 1 月 3 日までと見られていますが、2010 年 12 月 29 日から 2011 年 1 月 1 日にかけては量が比較的増加しました。この休暇シーズン中は、ほかにもいくつかのスパム攻撃がインターネット上で見られました。

年明けに転職を考えている人々もいますが、スパマーはそのような人々を狙ってさまざまな作戦を試みています。最近では、自宅でできる仕事を紹介するスパム攻撃が確認されています。このスパムメールには、本文に記載されている短縮 URL にアクセスするように促すメッセージが書かれていますが、実際にアクセスすると、偽の仕事情報の詳細が表示されます。

休暇シーズン中には、シーズンを通して医薬品スパムや製品販売スパムのメッセージも見られました。このようなスパムの多くは、メッセージに URL 短縮サービスを使った URL リンクを使用しています。

以下に、最近の医薬品スパム攻撃で使用された URL の例を挙げます。このスパム攻撃では URL 短縮サービスが利用されています。

hxxp://2.gp/cXX8
hxxp://fon.gs/pXXX9o/
hxxp://fon.gs/lXXX1c/
hxxp://pnt.me/dXXXme
hxxp://nbx.ch/dXg
hxxp://crum.pl/1XXct

以前のブログ記事で、偽の医薬品を販売するドイツ語のスパム攻撃について書きましたが、年始年末の休暇シーズンに合わせて、このスパムが改変されました。以下は、ドイツ語のメッセージの件名を(Google 翻訳を使って)英語に翻訳したものです。

件名: Potent into the New Year 2011(2011 年に向けて精力のつく薬をご提供)
 

シマンテックのメールセキュリティ製品(Brightmail テクノロジ搭載)をお使いの場合は、これらをはじめとするあらゆる種類のスパムメール攻撃を遮断できます。

シマンテックのスタッフ一同、本年も皆様のセキュリティを守り、皆様のご多幸をお祈り申し上げます。

-----------------

備考: この記事の分析に使用したスパムのサンプルを提供してくれた、Suji S. 氏および Anand Muralidharan 氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。