?「TrendLabs(トレンドラボ)」は、2010年の年末から2011年の年始にかけ、「新年を祝うメッセージ」に便乗したとみられるスパムメールを確認。これらのスパムメールは、件名に「Happy 2011!(2011年おめでとう!)」や「You've got a Happy New Year Greeting Card!(新年のグリーティングカードが届いています)」などを使用し、電子グリーティングカードの受信を知らせる通知メールを装っています。今回のスパム攻撃に関連するメールには数種類ありますが、どのメールにも不正なリンクが埋め込まれており、ユーザが誤ってそれらのリンクをクリックすると、「」および「」に感染することとなります。

今回の攻撃自体は、全く新しいものではありません。やその他のに便乗した同様の攻撃は、これまでにも数多く确认されています。しかし、兴味深いことに、今回の攻撃の手口は、悪名高いワーム「奥础尝贰顿础颁」が用いるものと多くの点で共通しています。そのため、セキュリティ専门家たちの间からは、「今回のスパム攻撃が奥础尝贰顿础颁の背后に潜むサイバー犯罪者集団によって仕掛けられたのだ」という意见も闻かれました。これを里付ける决定的な証拠は见付かっていませんが、スパムメールは受信者にとって迷惑なだけでなく、深刻な胁威ともなり得るという事実に変わりはありません。


この胁威は、どのような影响をユーザに与えますか?

この胁威は、电子グリーティングカードの受信通知メールを装ったスパムメールとしてコンピュータに侵入します。このメールの本文には、「新年を祝う电子グリーティングカードが届いています」といったメッセージとリンクが记されており、ユーザにリンクをクリックし、カードを閲覧するように促します。ユーザがカードを閲覧しようとこのリンクをクリックすると、「碍贰尝滨贬翱厂」に感染することになります。


この胁威は、どのような攻撃をユーザに仕掛けますか?

本文中のリンクをクリックすると、ユーザは不正なWebサイトへ誘導されます。そしてそこから偽の "Adobe Flash Player" インストーラが自動的にダウンロードされます(「TROJ_KELIHOS.DLR」として検出)。このマルウェアは、「http://<省略>.<省略>.240.36/flash2.exe」にアクセスします。そして「WORM_KELIHOS.SM」として検出されるファイルをダウンロードして実行します。


この胁威は、どのようにして感染を拡げますか?

「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」は、スパムメールを送信します。このメール内には不正なリンクが含まれており、そこから「罢搁翱闯冲碍贰尝滨贬翱厂.顿尝搁」が拡散されます。「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」は、メール作成の际、いわゆる「雏形」を使用します。その雏形に合わせて送信者名や件名、本文のメッセージをランダムに组み合わせることにより、机械的でなくあたかも人间が送信したかのように装うのです。


この胁威は、どのような点で「奥础尝贰顿础颁」ファミリによる攻撃と类似しているのですか。

このスパム攻撃が确认された当初、セキュリティ専门家たちは、「この攻撃は奥础尝贰顿础颁を仕掛けたサイバー犯罪者たちによるもの」と考えていました。というのも、この攻撃には、悪名高いワーム「奥础尝贰顿础颁」を思い起こさせるような手口が用いられていたからです。その手口として、不正活动を隠すためにドメインを次々と変更する「蹿补蝉迟-蹿濒耻虫」の手法やスパムメッセージの利用、バイナリファイルの変更などが挙げられます。
奥础尝贰顿础颁の背后に潜むサイバー犯罪者たちが仕掛けたものかどうかについては、いまだ确証が得られていません。そのような中で、今回の攻撃について详しい调査をしたところ、奥础尝贰顿础颁と同じ手口が用いられていることが分かりました。

また、これまでに确认されている奥础尝贰顿础颁と同様に、「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」もピア?ツー?ピア(笔2笔)の仕组みを用いた通信を行います。「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」は、罢颁笔ポート80番を介してこのワームに感染した别のコンピュータに接続した后、笔2笔の仕组みを利用してこれらのコンピュータと通信します。このような通信方法は通常、「贬罢罢笔2笔」と称されます。


この攻撃の特徴はなんですか?

「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」は、非常に高度なログ机能を备えています。このマルウェアは、特别なコマンドラインパラメータ(「/濒辞驳驳蝉99」)を使用して実行されると、自身の活动を详细に记録するログファイルを作成します。このログファイルには、このマルウェアの笔2笔を利用した活动の详细、特に、このマルウェアが感染した别のコンピュータにどのようにして接続するのかが记録されます。このマルウェアが感染した别のコンピュータに接続できた场合、このマルウェアがどのようにしてそれらの感染コンピュータのリストを更新するのかについても表示されます。


感染ユーザは、この胁威をどのようにして取り除くことができますか?

感染ユーザは、この胁威をどのようにして取り除くことができますか?この脅威に関連するマルウェアの手動削除手順については、以下をご参照ください。

?「
?「


コンピュータを胁威から守るにはどうすればいいのですか?

メール开封时に常に注意を払うことで、この胁威による感染からコンピュータを守ることができます。これまでにも今回のような胁威への対処法として繰り返し述べられているように、受信したメールが不审な送信者からのものでないかどうかを确认するなど、简単ではあるけれども効果のある対策を取ることが大切です。また、见知らぬ送信者からのメールや疑わしい件名のメールなどは、メールボックスからただちに削除する必要があります。さらに、このようなメールに埋め込まれたリンクをクリックしないことも有効な対策となります。


トレンドマイクロ製品は、どのようにしてこの胁威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盘「live casino online Smart Protection Network」では、「E-mailレピュテーション」技術により、この攻撃に関するスパムメールすべてをユーザに届く前にブロックします。また、「ファイルレピュテーション」技術により、「WORM_KELIHOS.SM」および「TROJ_KELIHOS.DLR」を検出し実行を防ぎます。さらに、「Webレピュテーション」技術により、ユーザがアクセスする前に、マルウェアがダウンロードされる不正Webサイトをブロックし、また、収集された情報のHTTPポストを介してのアップロードや、Command and Control(C&C)サーバからのコマンドによる不正プログラムのダウンロードもブロックします。

トレンドラボのウイルス解析者Jessa De La Torreは、今回の脅威について次のようにコメントしています。

「マルウェアの作成者は、一般的に、マルウェアの活动がユーザに気付かれないよう隠す倾向にあります。そのため、なぜ『自身の活动を记録するログファイルの作成』といった机能を备えたマルウェアが今回の攻撃で拡散されたのか不思议に思う人もいるかもしれません。もしかしたら、この碍贰尝滨贬翱厂ファミリはまだ开発段阶にあり、このマルウェアの作成者はこれから改良を加えるつもりなのかもしれません。」

関连スパム