今回は新手のマルウエアに関するブログをいくつか紹介する。まず、トレンドマイクロが確認した「SIREFEF/ZACCESS」(別名「ZEROACCESS」)マルウエアの亜種について。同社はブログで注意を呼びかけた。

 同社は7月下旬に、顧客から「services.exe」ファイルが未知のマルウエアにパッチを当てられたとの報告を受けた。パッチを当てられたservices.exeはZACCESSマルウエアファミリーのコンポーネントであることが確認されたという。このシステムファイルを利用して、ZACCESSはマシンが再起動する際に別の不正コンポーネントを実行する。この亜種は、通常のルートキット機能を使うのではなく、ユーザーモードを悪用して不正なコードを密かにロードする点が新しい。

 詳細に分析したところ、トレンドマイクロはservices.exeのパッチに関係するメインの不正コード(「BKDR_ZACCESS.SMQQ」として検出)を特定したほか、感染手順に関わるすべてのコンポーネントも確認した。感染は、ユーザーが誤ってダウンロードする「K-Lite Codec Pack.exe」の実行で始まり、その結果services.exeが不正コードを埋め込まれて実行される。

ZACCESSの感染手順

 このマルウエアは、クラックツールやKeygenアプリケーション、またはゲームインストーラーにメインの不正プログラムを組み込むことで拡散する。ピアツーピア(P2P)アプリケーションを介してダウンロードされた動画の再生に必要なコーデックを装い、人気映画のタイトルを含むファイル名を使っている。

 以下はP2P経由でダウンロードされたバイナリーの一部。「%P2P DL folder%\」はダウンロード後のファイルを保存するP2Pフォルダーを指している。

・%P2P DL folder%\The_Hunger_Games_2012_DVDRip_XviD_AMV\K-Lite Codec Pack 9.0.exe
・%P2P DL folder%\Alien_1979_DVDRip_XviD_FKG\K-Lite Codec Pack 9.0.exe
・%P2P DL folder%\The_Amazing_Spider-Man_2012_DVDRip_XviD_YKG\K-Lite Codec Pack 9.0.exe
・%P2P DL folder%\John_Carter_2012_DVDRip_XviD_IIN\K-Lite Codec Pack 9.0.exe
・%P2P DL folder%\The_Dark_Knight_Rises_2012_DVDRip_XviD_QEV\K-Lite Codec Pack 9.0.exe

 ダイレクトダウンロード経由でダウンロードされたバイナリーには以下のものがある。

・Diablo_III_crack.exe
・Microsoft_Office_Professional.crack.exe
・Youtube_Grabber_Keygen.exe

 インストールされると、メインのZACCESSドロッパー(「BKDR_ZACCESS.KP」として検出)はユーザーの現在のアクセス権限を確認する。もし、ユーザーが管理者権限を有する場合、ドロッパーはインストール作業を継続する。管理者権限ではない場合、アクセス権限を昇格させてインストールを進める。ドロッパーがメインの不正コードを投下して実行すると、ユーザーアカウント制御(UAC)通知が画面に表示される。

 その際ZACCESSは、ユーザーが不正ファイルを不審なものと気づいてインストールを阻止することがないように、無害なFlash Playerインストーラー「InstallerFlashPlayer.exe」を実行してUACダイアログボックスをポップアップ表示させる。

 こうしてZACCESSはInstallerFlashPlayer.exeと悪質なファイル「msimg32.dll」(BKDR_ZACCESS.SMQQ)をユーザーのTEMPフォルダーに作成する。この手法はDLL検索順序に関する機能を悪用したもので、「バイナリープランティング」として知られている。InstallerFlashPlayer.exeが実行されるとそのプロセスアドレス空間に、ZACCESSの不正コードをロードさせる方法だ。

 デフォルトでInstallerFlashPlayer.exeが実行されると、Windowsはシステムフォルダーを探す前に、現フォルダー内にあるmsimg32.dllを検索する。ドロッパーが不正なmsimg32.dllをInstallerFlashPlayer.exeと同じディレクトリーに投下しているため、Windowsはオリジナルのコードの代わりに、この不正コードをロードする。

不正msimg32.dllをロードする仕組み

 ZACCESSはこのようにしてAdobeFlashPlayer.exeのUACダイアログボックスを表示するが、ユーザーは正規の通知だと思いこんでFlash Playerのインストールを継続する。しかし実際には、ZACCESSがバックグラウンドで密かに被害マシンに侵入する。

UACダイアログ

 トレンドマイクロの調査によると、ZACCESSの感染は2012年7月に急増している。特に7月14日から15日にかけては54.29%もの拡大を見せ、7月23日にも18.85%増加した。

7月のZACCESS感染数の推移

 国別感染件数は、米国が断トツで最も多く、日本、オーストラリア、英国と続いている。

ZACCESS感染の国別シェア

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら