2005年に「価格.com」のサイトが改ざんされ閲覧した数多くのユーザーが感染したマルウェア。その後もネット犯罪者がたびたび利用しているため現在でも注意を要する。特にサポート期限が過ぎているWindows XPを使っている場合、感染の危険度はより高い。
脅威
Windows OSで活動するマルウェアで、トロイの木馬の一種。オンラインゲーム「Lineage」(リネージュ)のパスワードを盗み出すほか、亜種ではリムーバブルメディアを介して感染を広げるものもある。
主な感染/被害の流れ
感染すると、自分自身のコピーをSystem32フォルダ“EXPLORER.EXE”というファイル名で作成するとともに(rundll32.exeまたはinternat.exeが使用されることもある)、レジストリキーを追加し作成したファイルがWindowsの再起動時に実行されるようにする。
さらに、UPXで圧縮されたNTDLL.DLLというコンポーネントをSystem32ディレクトリに作成し、エクスプローラの実行時にメモリ上でアクティブになるようにする。このDLLファイルは、実行ファイルや関連するMAPファイルを検索してゲームデータがどこにあるのかを突き止める。取得したデータ(サーバーのアドレスやパスワード等)は一度保存され、その後攻撃者に送られる。
また、ウェブサーバーからファイルのダウンロードや実行を試みるほか、各社のファイアウォールやセキュリティソフトを停止する機能も持っている。
活動状況と注意点
2005年5月にウェブサイト「価格.com」のホームページが不正アクセスにより改ざんされ、閲覧した多くのユーザーがマルウェア感染するという事件が起こった。このとき利用されたマルウェアは二種類あり、そのうちの一つがDelf(Win32/PSW.Delf.FZ)だった。
そのため「価格.com」は一時閉鎖に追い込まれ、全面復旧にはおよそ1カ月を要した。その間、閲覧ユーザーに対してはESETのウイルス対策ソフト「NOD32アンチウイルス」を使用して防御するよう呼び掛けがあった。これは、事件発生直後に国内他社のウイルス対策ソフトではいずれも検出されなかった中で「NOD32アンチウイルス」だけがヒューリスティック機能により検出と駆除ができたためである。
Delfは2004年ごろより活動し、その後長期にわたってネット犯罪者によって利用され続けており、現在でも、国内も含めて被害が絶えない。特に、2014年以降において、サポートがすでに終了しているWindows XPを使用している場合、Delfに感染する可能性が極めて高くなるため、ESETは危険度の高いマルウェアの一つとして、あらためて注意を呼び掛けている。