ニュースフラッシュ: HTML スパマーはそれほど切れ者ではない


By アンドリュー・ブラント / Andrew Brandt


私たちウェブルートの人間やその他大勢の人たちに HTML ファイルが添付された偽のメールが大量に届くようになってから 1 週間以上が経過しています。私は、このブログの好奇心旺盛な読者の皆さんに、このファイルを開くとどのようなドライブバイ サイトがブラウザーに読み込まれるのか、簡単にご説明した方がいいのではないかと考えました。

以前お話ししたとおり、この HTML ファイル自体はただの難読化された JavaScript (人間が読むのは難しくても機械なら簡単に解釈できるコード) です。このような悪意のあるスクリプトがブラウザーに読み込まれると、スクリプトは別の Web サイトのページを読み込むようにブラウザーに命令します。実際、今日私が見たファイルはサーバー 1 にアクセスしてブラウザーをサーバー 2 に接続させ、サーバー 2 のスクリプトでサーバー 3 と 4 からさらに多くのファイルを全画面の iFrame に読み込ませました。

結局、表示されたものは「従来の」 JavaScript の偽の更新警告のようなものでした。マルウェア開発者にとっては残念なことですが、この「更新」はあまりにもわかりやすすぎます。明らかにあまりいい出来とは言えません。

すべては次のような警告のポップアップから始まります。

There is a big chance that your computer is infected! They can cause data loss and file  damages and need to be fixed as soon as possible. Return to Microsoft Security Assessment Tool and download it to   guard your PC. (このコンピューターは感染する可能性が高くなっています。データ損失やファイル破損を引き起こす恐れがありますので、できるだけ早く修復する必要があります。マイクロソフト セキュリティ アセスメント ツールに戻ってダウンロードし、PC を保護してください。)

これは驚きです。この可能性とはどのくらいでしょうか。スクラッチくじの当選確率より高いでしょうか。それともアイスを食べて「当たり棒」が出るのと同じくらいでしょうか。ここでは明言されていませんが、このお決まりのルートをたどり続けると迷惑な不正プログラムに感染する可能性はほぼ 100 % に高まります。

次に表示されるのは、「PC をスキャンするふりをして恐ろしげなものを大量に見せる」ウィンドウの改訂版です。アイコンが変更され、ハード ドライブはどういうわけかハード ディスク ドライバーと呼ばれていますが、この茶番の他の部分は非常によく見られるものです。「スキャン」が進行すると同時に、「Your Computer is Infected! (お使いのコンピューターは感染しています !)」という見出しのボックスにテキストが書き込まれていきます。このボックスはウィンドウの下の方にあり、検出したらしい感染の詳細情報を表示します。忘れないでください。この時点ではまだ、Web ページ上のアニメーションを見ているだけです。
このページは、多数のスクリプトといくつかの画像ファイルによって生成されています。画像ファイルの 1 つは次のようなものです。ハード ドライブのアイコンからご紹介しましょう。

次に、「リムーバブル メディア」のアイコンです。

新しいペテン アート コレクションに投資した人物がいるようですね。こちらは偽の「結果」ダイアログです。中身は空です。

偽の警告ウィンドウの左側に表示されるラベルはこちらです。

最後に、これらすべてをひとつにしたスクリーンショットをご覧ください。

私は、この偽の警告が検出したふりをしているマルウェアの名前が気に入っています。Email-Worm.Win32.Eyeveg.b という名前の「マルウェア ファイル」は一体どのような悪さをするのでしょう。私の友だちにスパムを送信しながら、トマトを私の顔に投げ付けるのでしょうか。このページの HTML を確認すると、偽の検出リスト全体を見ることができます。内容は次のとおりです。

Email-Worm.Win32.Net
Email-Worm.Win32.Myd
Trj-Dwnldr.Win
Email-Worm.Win32.Eyeveg.b
Lemena.3544
Macro.PPoint.Attach
Virus.BAT.Vr.a
Backdoor.Perl.AEI.20
Trojan-Spy.Win32.WMPatch
Trojan-PSW.Win32.Aletc
Trojan-Clicker.Win32.Bitdefener

次にこのページは、スキャン ウィンドウの上に「Windows Security Alert (Windows セキュリティの重要な警告)」というタイトルのポップアップを生成するスクリプトを呼び出します。テキストの配置が少々おかしくてもどうってことないですよね。

このポップアップは親切にも「To help protect your computer, Windows Defender has detected spyware and ready to remove them (コンピューターの保護に役立つように、Windows Defender はスパイウェアを検出し、削除の準備を整えました)」と被害者に通知します。はい、そうですか。

次のようなすばらしいパッケージで完成です。

また、このダイアログでは、「Spyware is software which is loaded onto your computer without your knowledge, or possibly without the full functionality being made clear to you.It can, among other things, slow your internet connection down and make frustrating changes to your browser. (スパイウェアはユーザーが知らないうちにコンピューターに読み込まれるソフトウェアで、その機能がユーザーに明かされることはまずありません。さまざまな悪事を働きますが、とりわけインターネット接続の速度を低下させたり、不要な変更をブラウザーに加えたりします)」と説明しています。

この点についてはウェブルートも同意します。だからこそ、このページがダウンロードする偽のウイルス対策ペイロードと、偽の警告の表示元となっているドメインをウェブルートの検出定義に追加しました。これらの悪意のある添付ファイルを開くとどうなるのか興味があった皆さんにも、これで満足していただけたことでしょう。とにかく、これらのファイルは開かないでください。

wordpress blog stats