NEWS

ニュース | 最新のニュースをお届けします

「互換性がありません」というメッセージ…実はウイルス感染

この記事をシェア

ヨーロッパをはじめとしたいくつかの地域で、Bayrobと呼ばれるトロイの木馬が猛威を振るっています。このマルウェアはメールの添付ファイルとして拡散されており、感染端末の情報を窃取します。中でも一番の特徴は実行時に互換性エラーを表示することで、ユーザーに感染を気付かせない点にあります。日本国内においても、わずかながら検出が確認されています。
ESETはこのマルウェアにもいち早く対応しています。

 

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。


この記事では、Bayrobというトロイの木馬を分析します。このトロイの木馬は、昨年12月中旬からいくつかの国で猛威をふるいました。

攻撃経路:Amazonをかたるメールに添付された悪質なファイル

ほかの多くの脅威と同様に、Win32/Bayrobはメールの添付ファイルとして配布されます。
いくつかの事例でこの攻撃キャンペーンの実行者はAmazonを装っていましたが、送信元メールアドレスを少し調べると明らかなとおり、実際にはAmazonとは何の関係もありません。

マルウェアが添付されたメール

マルウェアが添付されたメール

添付のZIPファイルには実行形式のファイルが含まれていました。このファイルはマルウェアで、実行した場合次のエラーメッセージを表示します。犠牲者にはファイルを実行できなかったと思わせつつ、裏では悪意のある活動をはじめます。

互換性エラーメッセージ

互換性エラーメッセージ

実際にはマルウェアがシステムにロードされているため、攻撃者はバックドアとして使うことができます。このトロイの木馬は自身をサービスとして登録し、システムが起動するたびに自身が実行されるようレジストリを改ざんします。

このトロイの木馬の目標の1つは、被害者のコンピューターから情報を盗むことです。
以下の情報がリモートサーバーに送信されることを確認しています。

  • OS(オペレーティングシステム)のバージョン
  • コンピューター名
  • コンピューターのIPアドレス
  • オペレーティングシステムおよびシステム設定に関する情報
  • コンピューターのMACアドレス
  • 実行されているサービスのリスト

もちろん、攻撃者が本当に狙っているのはこのような情報ではありません。彼らの最終目標は、クレジットカード情報やオンラインバンキングの資格情報など重要な情報の入手です。それらの情報を入手するために、このトロイの木馬は攻撃者の操るリモートコンピューターとHTTP通信し、次の操作を実行します。

  • リモートコンピューターからマルウェアをダウンロード
  • 実行形式ファイルの実行
  • リモートコンピューターに実行中プロセスのリストを送信
  • 収集された情報の送信
  • 自身を新しいバージョンに更新

このトロイの木馬のもう一つの興味深い特徴は、リモートコンピューターと接続するためのURLに加えて、さまざまなURLを生成することです。この事例では、次の3種類のURLを作成します。

送信先ドメインの情報

送信先ドメインの情報

次のWhois情報に示すように、3つのうち1つのドメインはAmazon Japanで登録されています。このことから攻撃者は感染したコンピューターにコマンドを送信するために、Amazon Web Servicesのレンタルサーバーを使用している可能性があるといえます。

サーバーのWhois情報

サーバーのWhois情報

だからといって、Amazonのサーバーが侵入されたというわけではありません。単に攻撃者がAmazon Japanの提供する既存のウェブサービスを使用しているというだけです。このような情報から、攻撃者に関する手がかりを得られることがあります。

Win32/Bayrobの世界的な影響

以前のWin32/Bayrobと同様に、このマルウェアの検出数の多寡には地域差があります。
今回の事例では、攻撃者は主にヨーロッパ、南アフリカ、オーストラリア、ニュージーランドに狙いを定めています。

世界における検出率

世界における検出率

世界全体の統計を見ると、先に挙げた地域以外(北米、南米、アジア、アフリカの大部分)では検出率があまり高くなかったことがわかります。

世界全体の日ごとの検出率

世界全体の日ごとの検出率

いくつかの言語のBayrobメールが検出されているため、攻撃者は毎回特定の国に狙いを絞って攻撃している可能性があります。

結論

このようなマルウェアのキャンペーンはますます一般的になってきています。これは攻撃者の戦略が可能な限り多くの犠牲者を引き付けるものから、特に関心のある市場(地域)に狙いを絞るものへと変化したことを意味するでしょう。

この手のマルウェアの拡散に使われている手法は非常によく知られたものです。とはいえ、このような攻撃を認識し悪意のある添付ファイルを開かないようにするためには、ユーザーひとりひとりの意識を高めていく必要があります。

このマルウェアは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2015年12月23日(日本時間)以降に配信されたウイルス定義データベースにて、下記の検出名で定義されました。

 

ウイルス定義データベース: 12767 (20151223)

Win32/Bayrob.AQ トロイの木馬
Win32/Bayrob.AQの亜種 トロイの木馬

ウイルス定義データベース: 12815 (20160104)

Win32/Bayrob.AT.gen トロイの木馬
Win32/Bayrob.AT.genの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!