ドライブバイ ダウンロードのサイトにリンクするスパム コメント


By アンドリュー・ブラント / Andrew Brandt

先日、ウェブルートのスレット ブログに、あるマルウェア開発者からスパム コメントの投稿がありました。この投稿者にはお礼を申し上げたい気持ちです。このようなコメントのおかげで、私の仕事は円滑に進みます。

スパム コメントには、「こんにちは。私は初心者です。マル秘スキャンダルをぜひ見てください」とあり、ドライブバイ ダウンロードを行うサイトへのリンクが付いています。新しい脅威がないかと常に目を光らせている当社の研究者にとっては、とても助かるコメントです。

ただし、言わずもがなながら、もっとユーザーの目を引いて、リンクをクリックしたい気にさせるコメントの方が、マルウェア開発者としてはよかったのではないかと思います。

リンク先は、無料ブログ サービス Blogspot のページで、ある有名人のヌード動画が見られることを示唆しています。有名人といっても、タレントの Paris Hilton でも、女子テニス選手 Venus Williams でも、スポーツキャスター Erin Andrews でもありません。米テレビ局 ABC のニュース番組 World News Tonight のキャスターとして高い評判と豊富な実績を誇る Diane Sawyer なのです。

Diane Sawyer のヌードだなんて、本気でしょうか。ニュース番組の司会者のポルノとは。期待の若手女優のヌード写真を騙ってユーザーを誘惑するマルウェア開発者たちは、どこへ消えてしまったのでしょうか。

リンク先の Blogspot のページでは、Sawyer の写真の下に、ストリーミング動画プレーヤーに見せかけた静的画像が埋め込まれていて、「Diane Sawyer のヌードを見る :  ここをクリック」と書いてあります。この “動画” をクリックすると、adultsvid.cn という Web サイトの JavaScript ファイルにリダイレクトされ、そこからさらに、metds.org という別の Web サイトのページにリダイレクトされます。この JavaScript は、38 種類の異なるページにユーザーをリダイレクトする仕組みになっているようで、各ページには、いくぶん若手の女性スターの名前が使われています。おそらく、コメント スパムの標的に応じてリダイレクト先を振り分けているのでしょう。

このスクリプトには、Sawyer の名前に代わり、Mila Kunis、Elisha Cuthbert、Kristen Bell、Eliza Dushku、Summer Glau、Zooey Deschanel、Sarah Chalke、Tina Fey など、もう少し若手の女優計 38 人の名前が使われています。これでこそ、我々の愛の対象、いや憎しみの対象としておなじみのソーシャル エンジニアリングです。

最終的には、Close Club Video と称する Web サイトのページへと飛び、またもストリーミング動画のウィンドウに似せた画像 (まったくの偽物) が表示されます。

結局のところ、どの有名人に興味をそそられたかは関係ありません。 どのリダイレクトもジャンプする先は同じです。video-codec.co.tv というドメインから偽の Flash コーデックをダウンロードさせようとするページです。ダウンロード処理の開始前には、Adobe Flash Player の更新の警告メッセージに見せかけた巧妙なアニメーションが画面に流れてきます。

ページ上のいずれかの場所をクリックすると、偽のコーデックのダウンロードが開始されます。

この偽コーデックの Web ページを冷やかしてみると、実は面白い点があります。Ajax の “読み込み中” を示すスピナーのアニメーション GIF や、動画の “再生回数” の数字など、ほとんどの表示項目は静的で、ずっと同じです。

しかし、URL のクエリ文字列を変更すると、”Diane Sawyer sex tape” というテキストの部分に、好きな文字列を表示させることができるのです。

残念ながら、このページのペイロードは、決して笑えるものではありません。

flash_video.exe のペイロード (繰り返し実行では flash_video_update.exe というファイル名) の正体は、我々が Trojan-DermoDNS と分類しているファイルのインストーラーです。これは、Trojan-Downloader-Dermo の修正版です。Adware-Sabotch のインストーラーをダウンロードするのに加え、感染したコンピューターの DNS 設定を変更するペイロードもダウンロードします。IP アドレスの解決を、ローカルの ISP のサーバーではなく、ロシアのあるサーバーで行うように変えてしまうのです。この結果、感染したコンピューターのブラウザーに表示されるページは、このロシアのサーバーの運営者によってこっそりと変更されてしまう可能性があります。

DermoDNS と Sabotch のペイロードは、既存のバルク検出シグネチャで対処できます。また、この攻撃に関係するドメインは、我々がこの行為を発見した時点で、1 つを除き、スパイスウィーパーの通信用シールドで既にブロックされています。残るドメイン 1 つも、最新の定義セットに追加しました。

しかし、感染を防ぐ一番の策は、ダウンロードおよび実行するファイルへの目配りです。手当たり次第にアプリケーションを実行するのは避けましょう。Adobe Flash Player の更新が必要な場合は、Adobe の公式ダウンロード サイトに行き、最新バージョンをダウンロードします。知らない Web サイトで、Flash をダウンロードできると書かれていても、信用しないでください。

wordpress blog stats