ルートキット機能を備えたトロイの木馬の一種で、極めて強力なマルウェア。2013年には国内でもクリック詐欺に利用され大きな被害があった。その後もネット犯罪者が利用しているため現在でも注意を要する。特にサポート期限が過ぎているWindows XPを使っている場合、感染の危険度はより高い。

脅威

Windows OSで活動するマルウェアで、ルートキットの機能を備えたトロイの木馬。OSの幾つかの重要なファイルを置き換えてカーネルレベルで感染・実行されるため、通常のセキュリティソフトでは駆除できない場合が多い。そのためセキュリティベンダー各社から駆除ツールが提供されている。

主な感染／被害の流れ

不正なウェブページを閲覧させて、JavaScriptの脆弱性を悪用してスクリプトを実行することにより、不正プログラムをダウンロードする。その後ユーザーに不正プログラムと気付かせずにクリックさせプログラムを実行させる。

実行後、ゴミ箱内に幾つかのファイルとフォルダを作成し、システムが起動するたびに作動するようにレジストリーエントリーを登録する（一部のレジストリーを削除）。作成されたライブラリを「explorer.exe」と「service.exe」のプロセスにインジェクトする。

インストール終了後、不正プログラムを削除し、痕跡を消す。

その結果、パソコンのリモート操作、キー入力した内容の窃取、実行ファイルの起動や実行中のプロセスの停止、DDoS攻撃などが可能になる。また、リモートからコントロール可能なバックドア型でもあるため、ポート（16464番）を開いて攻撃者のP2Pネットワークに接続も行える。

活動状況と注意点

Sirefefは2011年半ばに確認され、その後2014年にかけて断続的に被害が起こってきた。特に2013年8月ごろには、検索エンジンにおける検索結果に見せ掛けてユーザーを不正サイトへ誘導し、ページにあるボタンをクリックさせることでネット犯罪者の収益となるクリック詐欺の手口として感染が拡大し、国内でもよく知られるようになった。

その後2013年12月には、MicrosoftがSirefef関連のボットネットの一部閉鎖に成功したと報じられ、それ以上の被害の拡大は収まっている。

しかし、全てのボットネットが消滅したわけではないため、今なおSirefefならびにそのボットネットはネット犯罪者に利用され続けている。

特に、2014年以降において、サポートがすでに終了しているWindows XPを使用している場合、Sirefefに感染する可能性が極めて高くなるため、ESETは危険度の高いマルウェアの一つとして、あらためて注意を呼び掛けている。