宅配便の通知に見せかけて Microsoft の修正プログラム風ペイロードをインストールするマルウェア


By アンドリュー・ブラント / Andrew Brandt

今週は話題が盛りだくさんです。Microsoft が 6 月 14 日 (火) に公開した修正プログラムで、Windows、Office、Silverlight、Visual Studio などのプログラムのさまざまなセキュリティ問題が修正されたと思ったら、今度は、商魂たくましいマルウェア開発者によって、宅配便の配送通知に見せかけたマルウェアがメールでばらまかれています。PDF ドキュメントのアイコンで装ったこのマルウェアでは、Windows Update の実行時に取得される更新プログラムと同じような名前のペイロードがダウンロードされます。

当社のスパム収集用アドレスに届いたマルウェアには、UPS_document.zip というファイルが添付されていました (もっとオリジナリティのある名前にすればいいのに、という気もします)。この ZIP ファイルの中に、UPS_Document.exe という実行可能形式のダウンローダーが入っています。このファイルを実行すると、少なくとも 3 つのペイロードが取得されます。パスワードを盗み出すトロイの木馬である SpyEye、感染したシステムのプロファイル情報を送信する小さなエージェント、金銭を不正に奪う「偽システム ユーティリティ」である Windows XP Restore (Windows XP を搭載した私のテスト機の場合) という 3 つです。

この偽ユーティリティは、以前に「今週の偽物図鑑」で取り上げた Windows Recovery と外観がよく似ています。実のところ、今回の Windows XP Restore は、Windows Recovery をごくわずかに変えただけのコピーのようです。どちらかのツールに感染してしまったときには、被害をある程度修復できる無償のツールがあります。詳しくは後で説明します。

添付ファイルを送り付けるメールの本文は、この手の一般的なスパムに比べると多少は見た目が凝っていて、わざわざ HTML 形式のメールにしてあります。しかしそれも中途半端な感があります。見た目を整形しても、お粗末なスペルミスは隠せないからです。次のように、「address」や「business」のつづりが間違っています。

United Parcel Service
Tracking number #89946
The parcel was sent to your home adress.
And it will arrive within 3 buisness days.
More information and the parcel tracking number are attached in document below.
Thank you
United Parcel Service of America (c)
153 James Street, Suite 100, Long Beach CA, 90000

UPS_Document.exe を実行すると、深刻な感染の始まりです。

まずインストーラーは、8704 バイトのダウンローダーを trol.exe というファイル名で取得します。当社ではこのファイルを Trojan-Downloader-Tukpat という定義で分類しています。このダウンローダーは最初に、自らの名前を svchost.exe に変え、そのコピーを Windows ディレクトリに配置します。Windows でサービスの起動に使用される正規の (もっと大きなサイズの) svchost.exe とは異なるファイルです。

システムを再起動すると、このダウンローダーのコピーがさらにもう 1 つ、KB171818.exe という名前で作成されていました。システムで実行中のアプリケーションの一覧にこの名前が混じっていても、システムにパッチをあてる Windows Update の本物の修正プログラムと勘違いしそうです。「KB」に続く数字は必ず 6 桁ですが、別のマシンで実行するたびに値はランダムに変わります。

ダウンローダーは次に、miliardov.com という Web サイトから、少なくとも 3 つのペイロードを取得します。そのうちの 1 つは、さらに別のダウンローダーをインストールするもので、当社では Hiloti と呼んでいます。残りの 2 つは、SpyEye のインストーラーと、例の偽システム ユーティリティです。各ペイロードが実行されると、あるファイルによって Windows のドライバーがクラッシュし、ブルー スクリーンになります。再起動後のマシンは、マルウェアに乗っ取られた状態となっています。

SpyEye のペイロードは、十数か所の Web サイトのいずれかに対して、HTTP GET リクエストを定期的に送信します (1 時間あたりおよそ 3 回)。通常、その際のクエリ文字列には、感染したコンピューターの IP アドレスが含まれているほか、「アフィリエイト ID」など、いくつかのパラメーターがエンコードされています。送信先の Web サイトは、findsmell.org、findstation.org、searchbreeze.org、clickcareful.org といった名前で、人間が直接アクセスすると Google にリダイレクトされるようになっています。

Windows XP Restore は Windows Recovery と同じような悪事に直ちに着手し、次のような挙動を見せます。

  • コンピューターに対する偽の「スキャン」で「問題」を発見する。
  • デスクトップのショートカットやスタート メニューの中身を %temp% フォルダーのサブフォルダーに隠す (この問題が発生した場合はこちらのツールで修復が可能)。
  • ログイン中のユーザーのプロファイル フォルダーが特殊な隠しフォルダーとなるように属性を変える。
  • 特殊な隠しファイルをユーザーが参照できなくするためのレジストリ キーを追加する (この問題が発生した場合はこちらのツールで修復が可能)。
  • デスクトップ上で他のウィンドウの上に強制的に表示するプログラムを使ってシステムを乗っ取る。

問題はこれだけではありません。この馬鹿げた挙動を止めるためには料金を支払う必要があるというのです。それも 84.5 ドルです。何たることでしょうか。

とはいえ、下に示すような問題もこのソフトが修正してくれるそうです。そいつは心強い。よっぽどすごいソフトなんでしょうね。

もう 1 つ気付いた点があります。注文フォームを表示する偽の IE ウィンドウには、こんな URL が示されます。


しかし、支払い処理サービスの実際のドメイン名は次のようなものです。クレジット カード番号はここに届きます。

ひょっとして、この偽ユーティリティでは、詐欺的な販売行為の仲立ちとして、正当な決済処理サービス企業である Plimus や SecurePay を利用しているのでしょうか。真偽のほどはわかりませんが、このユーティリティの中に Plimus の URL や SecurePay の名前が出てくることから、そんな興味を抱きました。今週初めに Plimus に問い合わせましたが、返事はありませんでした。

上記の決済処理に使われている paymentsadd.com というドメインは、中国のドメイン レジストラーを通じて登録されています。この決済処理業者の本社所在地となっている場所を Google のストリートビューで見てみたら、こんな感じでした。

こちらも嘘のようですね。

wordpress blog stats