最近、ファイル感染型マルウェアの再来が確認されるようになっており、特に「MUSTAN」や「QUERVAR」はその代表格といえます。そうした脅威状況の中、さらにもう1つのファイル感染型マルウェアのファミリが台頭してきているようです。

「XPAJ」というファミリ名のファイル感染型マルウェアがそれであり、2009年10月に初めて確認された後、2012年10月に再びその存在が確認されています。以降、「XPAJ」の亜種は、オーストラリアやインド、日本、イタリア、米国を含むさまざまな国々のコンピュータに感染し、さらにその後、北米やヨーロッパの各国で拡散し続けています。

「XPAJ」の亜種は、いずれも「マスター・ブート・レコード(MBR)」へ感染することで知られており、これがこのマルウェアの削除を困難にしている要因でもあります。また、ワンクリック詐欺などの手口に関連するマルウェアとしても知られています。

「XPAJ」はどのようにコンピュータに侵入し、どのような不正活動を行いますか。

「XPAJ」は、他のマルウェアに作成されたり、ユーザが誤って不正なサイトを閲覧した際にダウンロードされたりと、さまざまな手法を駆使してユーザのコンピュータに侵入します。

コンピュータに侵入すると、「XPAJ」は、いずれの亜種も、感染源となる自身のマザーファイルを暗号化された状態で作成します。そして、"DLL" や "EXE"、"SCR" 、"SYS" といった拡張子をもつシステムファイルにファイル感染します。さらに、こうしたファイル感染の他、MBRにも感染します。通常、多くのマルウェアは、レジストリ値への追加を行うことで、自身のコピーがWindows起動時に自動的に読み込まれるという手法を用いますが、「XPAJ」の亜種の場合は、MBRへの感染を行うため、感染コンピュータのオペレーティングシステム(OS)が起動する前に読み込まれてしまいます。こうした点が、「XPAJ」の削除を困難にしている理由でもあります。

また、「Domain Generation Algorithm (DGA)」という手法を用いて、自身が接続するためのURLを197も生成することができます。この機能は、特定のURLに接続できない場合に備えたもののようですが、「XPAJ」の亜種が、いずれもこのような「URL生成機能」を備えているため、「関連するすべてのURLをブロックする」といった対策も困難になっています。

ワンクリック詐欺に関連した動作を行う点も、「XPAJ」を悪名高いものにしている理由です。感染コンピュータのユーザは、別のサイトに誘導され、そこで広告等をクリックさせて金銭的損失を被るような詐欺被害に見舞われ、サイバー犯罪者たちへ利益がもたらされることになります。

なお、「XPAJ」の亜種の中には、ネットワーク共有に割り当てられたドライブや共有フォルダを介して拡散するものもあります。これは、ネットワークを介して接続された多数のコンピュータの中で1台でも感染すると、他のすべてのコンピュータに感染被害が及んでしまうことも意味しています。

「XPAJ」によりファイル感染すると、どのような影響がコンピュータに及びますか。

「XPAJ」は、いずれも亜種も、実行ファイルにファイル感染が及ぶため、多くの場合、コンピュータ自体や、その中のプログラムやアプリケーション、さらにはOSにまで不具合が発生することになります。ちなみに、ファイル感染型マルウェアの「QUERVAR」の場合は、ファイル感染したコンピュータ上では、MicrosoftのExcelやWordのファイルにアクセスできなくなります。

そして「XPAJ」の亜種の場合は、MBRに上書きされるかたちで感染が行われるため、感染したコンピュータ上では、このマルウェアが、OSにより起動される前に読み込まれてしまうことになります。

さらに、感染したコンピュータのユーザは、本人が気づかないうちに、ワンクリック詐欺等、サイバー犯罪者による金銭目的の手段に利用されてしまう危険性もあります。

「XPAJ」に感染しているかどうかは、どのようにして判断することができますか。

システム管理者であれば、感染したコンピュータ内の「XPAJ」の亜種が、以下のIPアドレスやURLのコマンド&コントロール(C&C)サーバと交信しているかどうかを確認することで判断できます。

図1:「XPAJ」の亜種が接続するC&CサーバのURLやIPアドレス

また、「Windows ディレクトリ」に特定のファイルが存在するかどうかをチェックすることでも判断できます。上述のとおり、「XPAJ」の亜種は、感染源となる(暗号化された)自身のマザーファイルをダウンロードし、システムのプロセス上に読み込ませます。したがって、「Windows」フォルダ上で、ランダムなファイル名と拡張子によるこうしたマザーファイルのコピーが存在するかどうかをチェックします。通常、こういったファイルが6つから9つほど存在します。

図2:「XPAJ」に感染したコンピュータ上で確認できるファイル群

暗号化されたこれらマザーファイルのコピーが再び同じファイル名と拡張子で同じフォルダ内に存在する場合、コンピュータは、再度ファイル感染してしまうことにもなります。

「XPAJ」の亜種に感染した場合、どのようにして駆除・削除することできますか。

「XPAJ」の亜種の1つである「PE_XPAJ.C」にファイル感染した場合、専用ツールをご利用いただくことができます。この専用ツールについて、お問い合わせいただいたお客様に個別に提供いたしております。詳しくは下記サポートセンター窓口へお問い合わせください。

なお、「PE_XPAJ.C」が、ネットワーク共有に割り当てられたドライブや共有フォルダを介して拡散する点にも注意が必要です。この意味から、ご使用のコンピュータのネットワーク共有を直ちに無効にされることをお薦めします。この脅威に関連する不正なURLをブロックし、さらに可能であれば、HOSTSファイルに不正なドメインを追加し、これらのドメインに関連するURLにはアクセスできないという処置を施すという対策も有効です。