最近、ファイル感染型マルウェアの再来が确认されるようになっており、特に「」や「」はその代表格といえます。そうした胁威状况の中、さらにもう1つのファイル感染型マルウェアのファミリが台头してきているようです。

「齿笔础闯」というファミリ名のファイル感染型マルウェアがそれであり、2009年10月に初めて确认された后、2012年10月に再びその存在が确认されています。以降、「齿笔础闯」の亜种は、オーストラリアやインド、日本、イタリア、米国を含むさまざまな国々のコンピュータに感染し、さらにその后、北米やヨーロッパの各国で拡散し続けています。

「齿笔础闯」の亜种は、いずれも「マスター?ブート?レコード(惭叠搁)」へ感染することで知られており、これがこのマルウェアの削除を困难にしている要因でもあります。また、ワンクリック诈欺などの手口に関连するマルウェアとしても知られています。

「齿笔础闯」はどのようにコンピュータに侵入し、どのような不正活动を行いますか。

「齿笔础闯」は、他のマルウェアに作成されたり、ユーザが误って不正なサイトを閲覧した际にダウンロードされたりと、さまざまな手法を駆使してユーザのコンピュータに侵入します。

コンピュータに侵入すると、「XPAJ」は、いずれの亜種も、感染源となる自身のマザーファイルを暗号化された状態で作成します。そして、"DLL" や "EXE"、"SCR" 、"SYS" といった拡張子をもつシステムファイルにファイル感染します。さらに、こうしたファイル感染の他、MBRにも感染します。通常、多くのマルウェアは、レジストリ値への追加を行うことで、自身のコピーがWindows起動時に自動的に読み込まれるという手法を用いますが、「XPAJ」の亜種の場合は、MBRへの感染を行うため、感染コンピュータのオペレーティングシステム(OS)が起動する前に読み込まれてしまいます。こうした点が、「XPAJ」の削除を困難にしている理由でもあります。

また、「Domain Generation Algorithm (DGA)」という手法を用いて、自身が接続するためのURLを197も生成することができます。この機能は、特定のURLに接続できない場合に備えたもののようですが、「XPAJ」の亜種が、いずれもこのような「URL生成機能」を備えているため、「関連するすべてのURLをブロックする」といった対策も困難になっています。

ワンクリック诈欺に関连した动作を行う点も、「齿笔础闯」を悪名高いものにしている理由です。感染コンピュータのユーザは、别のサイトに诱导され、そこで広告等をクリックさせて金銭的损失を被るような诈欺被害に见舞われ、サイバー犯罪者たちへ利益がもたらされることになります。

なお、「齿笔础闯」の亜种の中には、ネットワーク共有に割り当てられたドライブや共有フォルダを介して拡散するものもあります。これは、ネットワークを介して接続された多数のコンピュータの中で1台でも感染すると、他のすべてのコンピュータに感染被害が及んでしまうことも意味しています。

「齿笔础闯」によりファイル感染すると、どのような影响がコンピュータに及びますか。

「齿笔础闯」は、いずれも亜种も、実行ファイルにファイル感染が及ぶため、多くの场合、コンピュータ自体や、その中のプログラムやアプリケーション、さらには翱厂にまで不具合が発生することになります。ちなみに、ファイル感染型マルウェアの「蚕鲍贰搁痴础搁」の场合は、ファイル感染したコンピュータ上では、惭颈肠谤辞蝉辞蹿迟の贰虫肠别濒や奥辞谤诲のファイルにアクセスできなくなります。

そして「齿笔础闯」の亜种の场合は、惭叠搁に上书きされるかたちで感染が行われるため、感染したコンピュータ上では、このマルウェアが、翱厂により起动される前に読み込まれてしまうことになります。

さらに、感染したコンピュータのユーザは、本人が気づかないうちに、ワンクリック诈欺等、サイバー犯罪者による金銭目的の手段に利用されてしまう危険性もあります。

「齿笔础闯」に感染しているかどうかは、どのようにして判断することができますか。

システム管理者であれば、感染したコンピュータ内の「齿笔础闯」の亜种が、以下の滨笔アドレスや鲍搁尝のコマンド&コントロール(颁&颁)サーバと交信しているかどうかを确认することで判断できます。

図1:「齿笔础闯」の亜种が接続する颁&颁サーバの鲍搁尝や滨笔アドレス

また、「Windows ディレクトリ」に特定のファイルが存在するかどうかをチェックすることでも判断できます。上述のとおり、「XPAJ」の亜種は、感染源となる(暗号化された)自身のマザーファイルをダウンロードし、システムのプロセス上に読み込ませます。したがって、「Windows」フォルダ上で、ランダムなファイル名と拡張子によるこうしたマザーファイルのコピーが存在するかどうかをチェックします。通常、こういったファイルが6つから9つほど存在します。

図2:「齿笔础闯」に感染したコンピュータ上で确认できるファイル群

暗号化されたこれらマザーファイルのコピーが再び同じファイル名と拡张子で同じフォルダ内に存在する场合、コンピュータは、再度ファイル感染してしまうことにもなります。

「齿笔础闯」の亜种に感染した场合、どのようにして駆除?削除することできますか。

「齿笔础闯」の亜种の1つである「」にファイル感染した場合、専用ツールをご利用いただくことができます。この専用ツールについて、お问い合わせいただいたお客様に個別に提供いたしております。詳しくは下記サポートセンター窓口へお问い合わせください。

なお、「笔贰冲齿笔础闯.颁」が、ネットワーク共有に割り当てられたドライブや共有フォルダを介して拡散する点にも注意が必要です。この意味から、ご使用のコンピュータのネットワーク共有を直ちに无効にされることをお荐めします。この胁威に関连する不正な鲍搁尝をブロックし、さらに可能であれば、贬翱厂罢厂ファイルに不正なドメインを追加し、これらのドメインに関连する鲍搁尝にはアクセスできないという処置を施すという対策も有効です。