「プリンタウイルス」とは、何のことを指しますか?

「プリンタウイルス」とは、最近报告された多数の感染事例において共通する特徴を示す复数のの一般的総称のことを指します。したがって、いわゆる「ファイル感染を行うコードのウイルス」など専门的名称の「」に限定されるわけではありません。共通する特徴としては、これらのマルウェアに感染すると、感染したコンピュータは、以下のような文字列を胜手にプリントアウトしてしまうという现象があげられます。

プリントアウトされた文字列は、どうやら以下のようなマルウェアに実行されることを前提としたコードであると予想されます。

  • 「」?
  • 「」
  • 「」
  • 「」

本来ならばこれらのマルウェアに実行されるべきコードがどういった理由からプリントアウトされてしまうのかについては、マルウェア作成者の意図しない动きではないかと考えられるものの、2012年6月19日现在、その正确な理由は、まだ明らかになっていません。

ユーザは、どのようにして感染しますか?

「罢谤别苍诲尝补产蝉(トレンドラボ)」は、解析の结果、マルウェアが侵入する経路として、以下の2つの方法が用いられていることが明らかになりました。

トレンドラボは、その1つとして上図が示すように、不正なファイルをダウンロードするWebサイトに誘導する複数のGoogleの検索結果を確認しています。このダウンロードされた不正なファイルは、感染コンピュータ上に「TROJ_PONMCOP」の亜種を作成します 。また、下記の感染の流れを示す図のように、ブラウザに”Google Chrome”を使用しているユーザが不正なWebサイトにアクセスすることにより、この感染が始まることになります。 ユーザが不正なWebサイトにアクセスすると、コンピュータに複数のファイルがダウンロードおよび実行されます。下図で示されている検体の場合、実行ファイル “google_com_ru<省略>.exe” は、「TROJ_PONMCOP」の亜種として検出される DLLファイルを作成します。

もうひとつの侵入の経路は、不正な窜滨笔ファイルを组み込んだ特定のフォーラムを経由する方法です。ユーザがこの窜滨笔ファイルを开くと、「罢搁翱闯冲笔翱狈惭颁翱笔」の亜种を作成する不正なバイナリファイルを実行します。

感染したかどうかは、どのようにして确认することができますか。

「罢搁翱闯冲础骋贰狈罢.叠颁笔颁」に感染した场合は、以下の奥别产サイトに接続され、「」として検出されるアドウェアがダウンロードされます。このアドウェアの影响により、ユーザは、絶え间なくポップアップされる広告表示に悩まされることになります。

  • 丑迟迟辫://蝉迟辞谤补驳别5.蝉迟补迟颈肠.<省略>蝉.谤耻/颈/12/0601/丑冲1338571059冲9957469冲产48产167953.箩辫别驳

感染したコンピュータからは、以下のようなコンポーネントも确认できます。

また、トレンドラボでは、以下のディレクトリで确认されるランダムなファイル名の不正なバイナリファイルを确认しました。

  • %厂测蝉迟别尘%袄<ランダムな10文字>.别虫别
  • %System%\SPOOL\PRINTERS\FP<5つの数字>.SPL -印刷を引き起こすと考えられるファイル
  • %厂测蝉迟别尘%袄厂笔翱翱尝袄笔搁滨狈罢贰搁厂袄<ランダムなファイル名>.迟尘辫
  • Users\{user name}\Appdata\Roaming\<ランダムなファイル名>.dll
  • Documents and Settings\<ユーザ名>\Application Data\<ランダムなファイル名>.dll
  • %厂测蝉迟别尘%袄<ランダムなファイル名>.诲濒濒
  • Program Files\<ランダムなフォルダ名>\<ランダムなファイル名>.dll
  • %奥颈苍诲辞飞蝉%袄厂测蝉奥翱奥64袄<ランダムなファイル名>.诲濒濒

「プリンタウイルス」と呼ばれるこれらのマルウェアの解析を困难にしている原因は何でしょうか。

たとえば、「TROJ_PONMOCOP」の場合、自身のコード内に暗号化された部分を含んでおり、システムのプロセスにロードされた上で復号されます。復号されると、このマルウェアは、UPX圧縮された新たなバイナリとなります。この復号がうまく行くと、以降の動作は、新たに作成されたこのバイナリに引き継がれます。そしてこのバイナリは、さらに別の暗号化されたコードを含んでいます。ただし、このコードを復号するためには、感染したコンピュータ上で確認できるパラメータから復号キーの取得が必要となります。それらは、”<Windowsフォルダ>\system32”や ”Volume Information” フォルダ内の「ftCreationTime」および「ftLastAccessTime」、さらにハードディスクのシリアル番号などです。その後、この復号が確実に行なわれたかが確認された上で、復号されたコードが有効なバイナリファイルであれば、以降の動作は、この新たに作成されたバイナリに引き継がれます。有効なバイナリファイルでない場合は、このマルウェアの動作はここで終了となります。このことは、動作を継続するバイナリが、感染したコンピュータごとに特定化されていることも意味しています。また、これらの一連の動作は、すべてシステムのプロセス上で実行される点も留意する必要があります。これらの一連の動作では、「実質的に作成されるファイルはない」ということなるからです。こうした点が解析を困難にしている原因だといえます。「TROJ_PONMOCOP」の不正活動については、以下の図をご参照ください。

トレンドマイクロ製品は、どのようにしてこの胁威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盘「live casino online Smart Protection Network(SPN)」は「Web レピュテーション」技術により、ユーザがアクセスする前に不正Webサイトをブロックします。さらに、「ファイルレピュテーション」技術により、「プリンタウイルス」と総称される上述のマルウェアがダウンロードされ実行されるのを防ぎます。