「プリンタウイルス」とは何か

「プリンタウイルス」とは、何のことを指しますか？

「プリンタウイルス」とは、最近報告された多数の感染事例において共通する特徴を示す複数のマルウェアの一般的総称のことを指します。したがって、いわゆる「ファイル感染を行うコードのウイルス」など専門的名称の「ウイルス」に限定されるわけではありません。共通する特徴としては、これらのマルウェアに感染すると、感染したコンピュータは、以下のような文字列を勝手にプリントアウトしてしまうという現象があげられます。

プリントアウトされた文字列は、どうやら以下のようなマルウェアに実行されることを前提としたコードであると予想されます。

• 「TROJ_AGENT.BCPC」 
• 「TROJ_PONMCOP.SM1」
• 「TROJ_PONMCOP.SM」
• 「TROJ_PONMOCOP.SM」

本来ならばこれらのマルウェアに実行されるべきコードがどういった理由からプリントアウトされてしまうのかについては、マルウェア作成者の意図しない動きではないかと考えられるものの、2012年6月19日現在、その正確な理由は、まだ明らかになっていません。

ユーザは、どのようにして感染しますか？

「TrendLabs（トレンドラボ）」は、解析の結果、マルウェアが侵入する経路として、以下の2つの方法が用いられていることが明らかになりました。

トレンドラボは、その1つとして上図が示すように、不正なファイルをダウンロードするWebサイトに誘導する複数のGoogleの検索結果を確認しています。このダウンロードされた不正なファイルは、感染コンピュータ上に「TROJ_PONMCOP」の亜種を作成します 。また、下記の感染の流れを示す図のように、ブラウザに”Google Chrome”を使用しているユーザが不正なWebサイトにアクセスすることにより、この感染が始まることになります。 ユーザが不正なWebサイトにアクセスすると、コンピュータに複数のファイルがダウンロードおよび実行されます。下図で示されている検体の場合、実行ファイル “google_com_ru＜省略＞.exe” は、「TROJ_PONMCOP」の亜種として検出される DLLファイルを作成します。

もうひとつの侵入の経路は、不正なZIPファイルを組み込んだ特定のフォーラムを経由する方法です。ユーザがこのZIPファイルを開くと、「TROJ_PONMCOP」の亜種を作成する不正なバイナリファイルを実行します。

感染したかどうかは、どのようにして確認することができますか。

「TROJ_AGENT.BCPC」に感染した場合は、以下のWebサイトに接続され、「ADW_EOREZO」として検出されるアドウェアがダウンロードされます。このアドウェアの影響により、ユーザは、絶え間なくポップアップされる広告表示に悩まされることになります。

• http://storage5.static.＜省略＞s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg

感染したコンピュータからは、以下のようなコンポーネントも確認できます。

また、トレンドラボでは、以下のディレクトリで確認されるランダムなファイル名の不正なバイナリファイルを確認しました。

• %System%\＜ランダムな10文字＞.exe
• %System%\SPOOL\PRINTERS\FP＜5つの数字＞.SPL －印刷を引き起こすと考えられるファイル
• %System%\SPOOL\PRINTERS\＜ランダムなファイル名＞.tmp
• Users\{user name}\Appdata\Roaming\＜ランダムなファイル名＞.dll
• Documents and Settings\＜ユーザ名＞\Application Data\＜ランダムなファイル名＞.dll
• %System%\＜ランダムなファイル名＞.dll
• Program Files\＜ランダムなフォルダ名＞\＜ランダムなファイル名＞.dll
• %Windows%\SysWOW64\＜ランダムなファイル名＞.dll

「プリンタウイルス」と呼ばれるこれらのマルウェアの解析を困難にしている原因は何でしょうか。

たとえば、「TROJ_PONMOCOP」の場合、自身のコード内に暗号化された部分を含んでおり、システムのプロセスにロードされた上で復号されます。復号されると、このマルウェアは、UPX圧縮された新たなバイナリとなります。この復号がうまく行くと、以降の動作は、新たに作成されたこのバイナリに引き継がれます。そしてこのバイナリは、さらに別の暗号化されたコードを含んでいます。ただし、このコードを復号するためには、感染したコンピュータ上で確認できるパラメータから復号キーの取得が必要となります。それらは、”＜Windowsフォルダ＞\system32”や ”Volume Information” フォルダ内の「ftCreationTime」および「ftLastAccessTime」、さらにハードディスクのシリアル番号などです。その後、この復号が確実に行なわれたかが確認された上で、復号されたコードが有効なバイナリファイルであれば、以降の動作は、この新たに作成されたバイナリに引き継がれます。有効なバイナリファイルでない場合は、このマルウェアの動作はここで終了となります。このことは、動作を継続するバイナリが、感染したコンピュータごとに特定化されていることも意味しています。また、これらの一連の動作は、すべてシステムのプロセス上で実行される点も留意する必要があります。これらの一連の動作では、「実質的に作成されるファイルはない」ということなるからです。こうした点が解析を困難にしている原因だといえます。「TROJ_PONMOCOP」の不正活動については、以下の図をご参照ください。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」は「Web レピュテーション」技術により、ユーザがアクセスする前に不正Webサイトをブロックします。さらに、「ファイルレピュテーション」技術により、「プリンタウイルス」と総称される上述のマルウェアがダウンロードされ実行されるのを防ぎます。