「Here you have」スパムメール、URLからワームへと導く！

この攻撃の背景

　トレンドマイクロは、2010年9月9日、ワームをダウンロードするリンクを含んだスパムメールに関する報告を複数確認しています。このスパムメールには、「Here you are」、「Just for you」、「hi」のいずれかの件名が使用されています。メール本文内には、ワームが組み込まれたリンクが記載されており、誤ってクリックすると、ワームがダウンロードされることとなります。以下は、これらのスパムメールの一例です。

　さらなる解析の結果、この脅威に関連するスパム攻撃は、7月17日前後か、あるいはそれ以前に始まっていたことが確認されました。これらの関連スパムメールは、当初、複数の企業や軍の人事部または総務部のEメールアドレスに向けて送信されていました。この初期の関連スパムメールは、次のような内容のメッセージを含んでいました。

　「Hello, This is my CV. I hope I can Find a Job 」 （こんにちは。こちらが私の履歴書です。貴社に採用されることを願っております。）

　これらのスパムメールの件名には、通常、「MY CV」が使用されていました。

　その後、7月29日から8月3日までの間には、メールの件名に「to af.union」を用い、特にアフリカ連合（AU）の関係者を狙った攻撃が確認されました。このスパムメールは、次のようなメッセージを含んでいました。

　「I have worked in Human Right Community and would like to work with you. This is my CV including personal picture」 （私は人権団体で働いた経験があり、その経験を生かした貴社での仕事を希望しております。こちらが写真付きの私の履歴書です。）

　上記事例から、今回のスパム攻撃は、もともと攻撃対象を定めて仕掛けられていたことが推測できます。

この脅威は、どのようにしてコンピュータに侵入しますか？

　この脅威は、スパムメールを介してコンピュータに侵入します。メール本文内には、リンクと共に、このリンクをクリックするように促すメッセージが記載されています。「TrendLabs（トレンドラボ）」では、このスパムメールに関する報告を複数確認しています。その1つは、「無料で動画がダウンロードできる」とかたり、ユーザにメール内のリンクのクリックを促します。別のサンプルは、PDFファイルがダウンロードできるとうたうリンクを含んでいます。しかし、これらのリンクをクリックすると、「WORM_MEYLME.B」がダウンロードされる結果となります。

この脅威は、どのような攻撃をユーザに仕掛けますか？

　「WORM_MEYLME.B」は、実行されると、特定のWebサイトにアクセスし、感染コンピュータに「HKTL_PASSVW.A」および「HKTL_PASSVIEW」として検出されるファイルをダウンロードします。これらのファイルはどちらとも、情報を収集するツールです。特に、「HKTL_PASSVW.A」は、Microsoft Outlook のパスワードやInternet Explorer（IE）のオートコンプリート機能に記憶されたパスワード、IEでパスワード保護されたWebサイトのパスワード、MSN Explorer（マイクロソフトのポータルサイトであるMSN専用にカスタマイズされた統合ブラウザ）のパスワードなどを収集します。

　一方、「HKTL_PASSVIEW」は、さまざまなWindowsアプリケーションのパスワード回復ツールとして利用されます。

　さらに「WORM_MEYLME.B」は、トレンドマイクロ製品で「BKDR_BIFROSE.SMU」として検出するバックドア型不正プログラムをダウンロードします。

　また、「WORM_MEYLME.B」は、ウイルス対策製品に関連するサービスを削除し、感染コンピュータをこの脅威の危険にさらします。「WORM_MEYLME.B」は、自身のコード内に含まれているVisual Basicスクリプト（「VBS_MEYLME.B」として検出）も利用し、ネットワーク内のすべてのユーザをリストアップし、これらのユーザのコンピュータにこのワームのコピーを "N73.Image12.03.2009.JPG.scr" または "＜コンピュータ名＞CV 2010.exe" として作成します。

このワームは、どのようにして感染を拡げますか？

　「WORM_MEYLME.B」は、Eメールやリムーバブルドライブ、ネットワーク共有フォルダを介して感染活動をします。
このワームは、Microsoft Outlookの連絡先からEメールアドレスを収集し、Messaging Application Protocol Interface（MAPI）を用いてEメールを送信します。このメールはメッセージ内に、ワームのコピーへと誘導するリンクを含んでいます。

　また、このワームは、「Yahoo!メッセンジャー」を用いて、ユーザの「Yahoo!」のコンタクト先からEメールアドレスを収集します。その後、ツール「SendEmail」を用いて特定の内容のメールを送信します。「SendEmail」とは、「Yahoo!Mail」や「Gmail」といったサーバに匿名のメールを送信することのできる無料のアプリケーションです。

　さらにこのワームは、Gmailを自身のSMTPサーバとして利用し、メールを送信します。その際、特定のユーザ名とパスワードを組み合わせ、個人情報として使用します。送信されるメールには、「http://＜省略＞s.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr」という、このワームのコピーへと誘導するリンクが含まれています。

　「WORM_MEYLME.B」は、リムーバブルドライブを介しても感染活動をします。このワームは、感染コンピュータのすべてのリムーバブルドライブ内に自身のコピーを作成します。その後、"AUTORUN.INF" というファイルを作成します。このINFファイルには自動実行のための文字列が含まれており、このファイルが保存されたドライブにユーザがアクセスすると、そこに含まれているワームの自身のコピーが自動的に実行されます。

　「WORM_MEYLME.B」は、自身のコード内に含まれているスクリプト（「VBS_MEYLME.B」として検出）も利用し、ネットワーク内のすべてのユーザをリストアップします。その後、これらのユーザのコンピュータのCドライブからHドライブまでのドライブ内に、このワームのコピーを "N73.Image12.03.2009.JPG.scr" または "＜コンピュータ名＞CV 2010.exe" として作成します。このワームのコピーは、特に、 "New Folder" や "music" 、 "print" といった共有フォルダ内に作成されます。また、ワームは、＜Windowsフォルダ＞内のフォルダ "system" を "＜コンピュータ名＞\updates" として共有にします。

なぜこの攻撃は Noteworthy に分類されたのですか？

　この脅威が Noteworthy に分類された理由はいくつかあります。

　1つ目の理由は、「WORM_MEYLME.B」が、人事や軍の関係者といった特定の人々を対象とし、複数の件名を用いたスパムメールを送信することにより拡散しているためです。このワームは、こうして、スパムメールの送信元が怪しまれないようにしているのです。

　2つ目の理由は、「WORM_MEYLME.B」が、レジストリへ以下のような重大な変更を加えるためです。

• レジストリキー「wuauserv」を削除し、Windowsのアップデートを無効にする。
• レジストリキーを追加し、特定のファイルが実行されると自身のコピーが実行されるようにする。
• ウイルス対策ソフトを終了し削除する。