「ZBOT」と「SALITY」がWindowsショートカットファイルの脆弱性を悪用
投稿日: 2010年8月10日
この脅威は、「Microsoft Windows Security Advisory」という件名のスパムメールを介してコンピュータに侵入します。このスパムメールは、Windowsユーザを狙う「新種のワームが確認された」とユーザに警告し、このワームから身を守る対応策として、添付の修正パッチをダウンロードするように促します。しかし、添付の圧縮ファイル(拡張子ZIP)には修正パッチなど含まれておらず、実際は、「EXPL_CPLNK.SM」として検出されるショートカットファイルと、「TROJ_ZBOT.BXW」として検出されるDLLファイルが含まれています。
「WORM_SALITY.RL」も、Windowsショートカットファイルの脆弱性を利用します。ファイル感染型に関連するこのワームは、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードするか、あるいは他のマルウェアにダウンロードされコンピュータに侵入します。
この脅威は、どのような攻撃をユーザに仕掛けますか?
前述のスパムメールを介した攻撃事例の場合、「EXPL_CPLNK.SM」内のWindowsショートカットファイルの脆弱性を利用するコードが実行されると、マルウェアのコンポーネントが実行され、このコンポーネントがメインとなるマルウェアの「TROJ_ZBOT.BXW」をダウンロードし実行します。ZBOTのこの特定の亜種は、レジストリ値を追加することによりWindows ファイアウォールを回避します。注目すべきは、このマルウェアが複数の情報収集活動を行う点です。このマルウェアは、特定のAPIをフックし、感染コンピュータが送受信するデータを傍受します。また、別のAPIをフックすることにより、"Mozilla Firefox" に送信されるデータおよび "Mozilla Firefox" から送信されるデータの傍受が可能になり、さらに別のAPIをフックすることにより、証明書から秘密鍵の収集が可能になります。
また、この「TROJ_ZBOT.BXW」は、リモートサイトにアクセスし、環境設定ファイルをダウンロードすることによっても情報収集活動を行います。この環境設定ファイルは、「TROJ_ZBOT.BXW」のコピーの更新版へのリンクや、監視するオンライン銀行のWebサイトのリスト、ドロップゾーン(収集した情報を保管するサーバ)の情報を含んでいます。さらに、この「TROJ_ZBOT.BXW」は、スクリーンショットの取得や、オンライン銀行サイトへログインする際のキー入力操作情報の収集も行います。
一方、「WORM_SALITY.RL」は、Windowsショートカットファイル内の脆弱性を利用し、DLLファイルを作成して実行します。この「WORM_SALITY.RL」は、実行されると、アダルト動画へのショートカットを装ったLNKファイル(「EXPL_CPLNK.SM」として検出)を作成します。
この脅威は、どのような影響をユーザに与えますか?
脆弱性を悪用する攻撃から無防備なコンピュータを使用しているユーザは、今回の脅威の被害を受ける可能性があります。早急な対策が必要であるように警告を呼びかけるスパムメールの内容に巧妙に促され、添付ファイルをダウンロードしてしまうからです。
この攻撃が Noteworthy (要注意)が分類された理由は何でしょうか?
この攻撃は、マルウェアの感染拡大の手口がどのように進化しているかを示しています。感染したUSBやその他のリムーバブルドライブの利用などの一般な手法に比べ、今回のWindowsショートカットファイルの脆弱性を利用したマルウェアは、より簡単に拡散することができます。感染したUSBを用いた手法と異なり、今回の手口は、共有ドライブや光学ドライブ、ネットワーク共有フォルダなどを介しても感染活動を行うことができるからです。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロ製品をご利用のお客様は、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により、この脅威に関連するさまざまな不正コンポーネントから守られています。「E-mailレピュテーション」技術により、関連するスパムメールを受信することなくブロックできます。また「ファイルレピュテーション」技術により、この脅威に関連する「EXPL_CPLNK.SM」や「TROJ_ZBOT.BXW」、「WORM_SALITY.RL」、「PE_SALITY.BA-O」を直ちに検知して削除します。
コンピュータを攻撃から守るにはどうすればよいでしょうか。
Microsoftは、この脆弱性に対応する修正パッチを公開済みです。この脅威から身を守るためにも、修正パッチをダウンロードし適用することをお勧めします。また、不審なメールは開かず、メールの添付ファイルをダウンロードする際にも細心の注意を払う必要があります。
「WORM_SALITY.RL」も、Windowsショートカットファイルの脆弱性を利用します。ファイル感染型に関連するこのワームは、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードするか、あるいは他のマルウェアにダウンロードされコンピュータに侵入します。
この脅威は、どのような攻撃をユーザに仕掛けますか?
前述のスパムメールを介した攻撃事例の場合、「EXPL_CPLNK.SM」内のWindowsショートカットファイルの脆弱性を利用するコードが実行されると、マルウェアのコンポーネントが実行され、このコンポーネントがメインとなるマルウェアの「TROJ_ZBOT.BXW」をダウンロードし実行します。ZBOTのこの特定の亜種は、レジストリ値を追加することによりWindows ファイアウォールを回避します。注目すべきは、このマルウェアが複数の情報収集活動を行う点です。このマルウェアは、特定のAPIをフックし、感染コンピュータが送受信するデータを傍受します。また、別のAPIをフックすることにより、"Mozilla Firefox" に送信されるデータおよび "Mozilla Firefox" から送信されるデータの傍受が可能になり、さらに別のAPIをフックすることにより、証明書から秘密鍵の収集が可能になります。
また、この「TROJ_ZBOT.BXW」は、リモートサイトにアクセスし、環境設定ファイルをダウンロードすることによっても情報収集活動を行います。この環境設定ファイルは、「TROJ_ZBOT.BXW」のコピーの更新版へのリンクや、監視するオンライン銀行のWebサイトのリスト、ドロップゾーン(収集した情報を保管するサーバ)の情報を含んでいます。さらに、この「TROJ_ZBOT.BXW」は、スクリーンショットの取得や、オンライン銀行サイトへログインする際のキー入力操作情報の収集も行います。
一方、「WORM_SALITY.RL」は、Windowsショートカットファイル内の脆弱性を利用し、DLLファイルを作成して実行します。この「WORM_SALITY.RL」は、実行されると、アダルト動画へのショートカットを装ったLNKファイル(「EXPL_CPLNK.SM」として検出)を作成します。
この脅威は、どのような影響をユーザに与えますか?
脆弱性を悪用する攻撃から無防備なコンピュータを使用しているユーザは、今回の脅威の被害を受ける可能性があります。早急な対策が必要であるように警告を呼びかけるスパムメールの内容に巧妙に促され、添付ファイルをダウンロードしてしまうからです。
この攻撃が Noteworthy (要注意)が分類された理由は何でしょうか?
この攻撃は、マルウェアの感染拡大の手口がどのように進化しているかを示しています。感染したUSBやその他のリムーバブルドライブの利用などの一般な手法に比べ、今回のWindowsショートカットファイルの脆弱性を利用したマルウェアは、より簡単に拡散することができます。感染したUSBを用いた手法と異なり、今回の手口は、共有ドライブや光学ドライブ、ネットワーク共有フォルダなどを介しても感染活動を行うことができるからです。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロ製品をご利用のお客様は、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により、この脅威に関連するさまざまな不正コンポーネントから守られています。「E-mailレピュテーション」技術により、関連するスパムメールを受信することなくブロックできます。また「ファイルレピュテーション」技術により、この脅威に関連する「EXPL_CPLNK.SM」や「TROJ_ZBOT.BXW」、「WORM_SALITY.RL」、「PE_SALITY.BA-O」を直ちに検知して削除します。
コンピュータを攻撃から守るにはどうすればよいでしょうか。
Microsoftは、この脆弱性に対応する修正パッチを公開済みです。この脅威から身を守るためにも、修正パッチをダウンロードし適用することをお勧めします。また、不審なメールは開かず、メールの添付ファイルをダウンロードする際にも細心の注意を払う必要があります。