マカフィー株式会社 公式ブログ

McAfee Labs] 2010年8月16日 更新

Koobfaceワームに新機能追加

 

2008年以来、Koobfaceワームは、Facebookユーザーにおける最も悪意のある脅威の一つでした。大半の脅威と同様、Koobfaceは、悪意のあるペイロードを追加したり変化させたりしながら時間とともに姿を変えつつ、システムからシステムへと伝播する能力を維持しています。そのKoobfaceに、この度新たに、セキュリティサイトへのアクセスをブロックしてシステム不具合の可能性をユーザーにほのめかす、DNSハイジャック機能が追加されました。

ウイルスがファイルを削除したり、取り返しのつかないシステム損害を引き起こしたりすることが多いというのは、よくある誤解です。確かに、このカテゴリーには多数のウイルスが存在していますが、その大部分はむしろ気付かれないようにしています。損害を受けたシステムはウイルスを他の被害者へ広めることができませんが、静かに感染しているシステムはウイルスのまん延に常に利用される可能性があります。また、システムが明らかな感染の兆候を見せると、所有者が修復しようという気になりやすいため、あえて静かにしているという傾向があります。

これまで、Koobfaceは変化に富んでいました。バックグラウンドでパスワードを盗むマルウェアをインストールすることもあれば、ユーザーにCAPTCHAを入力するよう促すこともありました。

先日、Koobfaceは、セキュリティサイトへのアクセスをブロックしてシステム不具合の可能性をユーザーにほのめかす、DNSハイジャック機能を追加しました。この機能追加以来、マルウェアの作者たちは、偽ウイルス対策ソフトであるトロイの木馬をインストールすることにより、侵入力を大幅に増加させています。

最初の感染から約10分で、下のような偽のスキャンウィンドウと感染警告が表示されます。

この偽のアラートから、すべてが始まります。トロイの木馬は、HTTPプロキシ代わりとなってInternet Explorerを設定し、このプロキシを通してHTTPリクエストをルートします。そして、偽ウイルス対策ソフトウェア購入サイトや少数のポルノサイト以外のすべてへのアクセスをブロックします。このペイロードは、ポップアップ表示や、検索結果リンクのリダイレクトのために作られているその他のKoobfaceコンポーネントさえブロックして、偽エラーメッセージを表示するKoobface製ポップアップをユーザーに見せます。

また、ほぼすべての実行ファイルを実行不可能にすることで、大半のユーザーに対し、システムそのものが使い物にならないようにします。

この自己矛盾的な脅威がどのように発生したのかはわかりません。しかし、大きな打撃を与えるペイロードは、他のKoobfaceコンポーネントと同じドメインから配信されています。おそらくサイバー犯罪者は、できる限り多くの稼ぎを手に入れるため、可能な限りの多くのユーザーに49.95~69.95ドルを支払わせ、「ウイルス対策セキュリティスイート」に登録させることを目論んでいます。その一方、彼らは、脅威を広める最新感染ベースを利用することに不安を持っていないユーザーを感染させる自分たちの能力に自信を持っているようです。

Koobface感染の圧倒的多数は、ウイルスを実行することを「選択」したユーザーに端を発しています。このようなユーザーは、作者の使うソーシャルエンジニアリングにだまされています。サイバー犯罪者は、人々の好奇心や、そそる動画を見たいという欲望を食い物にしているのです。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.