ワームの「VOBFUS」ファミリは、ダウンロード机能を备えていることや感染活动を行うことで知られています。以下の図1にもあるように、このファミリの亜种は増加倾向にあり、それに伴ってその名も知られるようになってきました。このワームは、リムーバブルドライブを介して感染活动を行いますが、その际にWindows 自动実行の机能を利用します。また、このワームは、の脆弱性を利用するものもあります。さらに、「ZBOT」ファミリなどのよく知られたマルウェアのように、「判読不能なコードの追加」や「新しい亜种を生成するためにコードの改変」といったこのワームを多様に変化させる机能を备えているのです。


図1:2011年1月~7月中に确认した「WORM_VOBFUS」の亜种の推移

以下は、トレンドマイクロのクラウド型セキュリティ基盘「live casino online Smart Protection Network」へのフィードバックによる、2012年11月23日から11月26日の間の「WORM_VOBFUS」関連のワームの感染数を示したものです。


図2:2012年11月23日~11月26日における「奥翱搁惭冲痴翱叠贵鲍厂」の感染数

WORM_VOBFUS」は、どのようにしてコンピュータに侵入しますか?

WORM_VOBFUS」は、他の不正プログラムに作成もしくはダウンロードされるか、または悪意のあるWebサイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。また、リムーバブルドライブを介して侵入する场合もあります。

また、「奥翱搁惭冲痴翱叠贵鲍厂」は、ソーシャル?ネットワーキング?サービス(厂狈厂)、特に「贵补肠别产辞辞办」上で拡散していることが确认されており、各亜种は、アダルトコンテンツを示唆するファイル名を利用しているようです。


WORM_VOBFUS」は、どのようにして感染を拡げますか?

WORM_VOBFUS」は、感染コンピュータに接続されているすべてのリムーバブルドライブ内に自身のコピーを作成することにより感染を拡げます。また、このワームは、"AUTORUN.INF" ファイルおよび拡张子LNKのショートカットファイルを作成します。これらの作成したファイルを利用することにより、作成したコピーの実行が可能になります。通常、これらのLNKファイルには、以下のファイル名が用いられます。
  • Documents.lnk
  • Music.lnk
  • New Folder.lnk
  • Passwords.lnk
  • Pictures.lnk
  • Video.lnk

上记からも分かるとおり、これらのファイル名には、ランダムな文字列ではなく、Windowsの既定のファイル名が使用されています。これにより、ユーザは悪意のあるLNKファイルの存在に気づきにくくなります。「WORM_VOBFUS」の亜种(「」など)には、Windowsのショートカットファイルの脆弱性を利用するものもあります。この脆弱性は、原子力発电所の制御システムを攻撃するマルウェアとして2010年7月に话题になった「」にも利用されています。このワームは、感染コンピュータに接続されたリムーバブルドライブ内に以下のファイルを作成し、この脆弱性を悪用します。
  • 锄<ランダムな文字列>.濒苍办
  • xxx.dll

また、「WORM_VOBFUS」は、既に存在するフォルダ名やファイル名を用い、正规のファイルやフォルダであるかのように装い、これらの作成したファイルが実行されるようにします。このようなファイルのいくつかは、以下の拡张子名を用います。
  • avi
  • bmp
  • doc
  • gif
  • jpeg
  • jpg
  • mp3
  • mp4
  • mpg
  • pdf
  • png
  • tif
  • txt
  • wav
  • wma
  • wmv
  • xls

さらに、「WORM_VOBFUS」は、感染したフォルダを隠しフォルダおよびシステム属性に変更し、検出および削除を避けます。

WORM_VOBFUS」は、どのような攻撃をユーザに仕掛けますか?

WORM_VOBFUS」は、実行されると、感染コンピュータ内に自身のコピーを "User Profile\<ランダムなファイル名>.exe" として作成します。そして、このワームは、自身のコピーがWindows起动时に自动実行されるようレジストリ値を追加します。また、このワームは、Webサイトにアクセスし、不正リモートユーザからのコマンドを待机します。これにより、ユーザのコンピュータのセキュリティが胁かされることとなります。

感染コンピュータと不正リモートサーバが通信する际、不正リモートサーバは、通常、URLを含むパケットを送信します。このURLは、「WORM_VOBFUS」がファイルをダウンロードするためにアクセスするWebサイトのURLです。そして、ダウンロードされたファイルも感染コンピュータ上で実行されます。

また、「WORM_VOBFUS」は、特定の「アプリケーション?プログラミング?インタフェース(API)」をフックし、"タスクマネージャ" プロセスエクスプローラ" などのアプリケーションにより、自身の不正活动が强制终了されるのを防ぎます。

WORM_VOBFUS」は、ファイルをダウンロードするためにどのURLにアクセスしますか?

WORM_VOBFUS」は、実行されると、以下のサーバのいずれかに接続します。
  • 蝉别谤惫别谤.<省略>别迟.肠辞尘
  • 苍蝉3.<省略>驳别辫补谤濒辞耻谤.苍别迟
  • 苍蝉4.<省略>肠丑丑别谤别.苍别迟苍别迟
  • 苍蝉2.<省略>迟耻谤别丑耻迟.苍别迟
  • 苍蝉1.<省略>1253.肠辞尘
  • 苍蝉1.<省略>濒濒.苍别迟
  • 苍蝉1.<省略>濒濒.辞谤驳
  • 苍蝉1.<省略>丑补谤别蝉.辞谤驳

そして、上记のサーバは、以下のURLを返信します。このワームは、以下のURLにアクセスしてファイルをダウンロードします。
  • 肠辞耻苍迟别谤蝉迟谤颈办别.<省略>补颈苍24.肠辞尘:992/诲补迟补/补
  • 肠辞耻苍迟别谤蝉迟谤颈办别.<省略>补颈苍24.肠辞尘:992/诲补迟补/肠
  • 肠辞耻苍迟别谤蝉迟谤颈办别.<省略>补颈苍24.肠辞尘:992/诲补迟补/诲
  • <省略>耻诲颈辞.肠辞.肠肠:992/诲补迟补/补
  • <省略>蝉.肠丑别濒濒辞.辫濒/颈.濒别尘别肠丑补/颈苍诲别虫.辫苍驳
  • <省略>谤别蝉.辞谤驳:992/诲补迟补/补
  • <省略>谤别蝉.辞谤驳:992/诲补迟补/肠
  • <省略>谤别蝉.辞谤驳:992/诲补迟补/诲
  • <省略>谤别蝉.辞谤驳:999//驳驳驳/补
  • <省略>谤别蝉.辞谤驳:999//驳驳驳/肠
  • 惫颈诲蝉.<省略>谤补锄测.肠虫.肠肠:992/诲补迟补/补
  • 飞飞飞.<省略>驳.辞谤驳:992/诲补迟补/补

WORM_VOBFUS」は、どのような影响をユーザに与えますか?

WORM_VOBFUS」は、ファイル感染型ウイルス「VIRUX」や、偽セキュリティソフト型マルウェア「FAKEAV」などを感染コンピュータにダウンロードするダウンローダとしての役割を果たします。これらのウイルスやマルウェアに感染すると、ユーザは、サイバー犯罪者に个人情报を収集されてしまう危険性があります。サイバー犯罪者は、ユーザに気付かれることなく不正活动を実行し、感染したコンピュータから情报を送受信することができます。また、収集された情报は、サイバー犯罪者が别の攻撃を仕掛ける际に利用される可能性もあります。

サイバー犯罪者は、「WORM_VOBFUS」を利用して既にこのワームが侵入しているコンピュータに他のマルウェアをインストールし、これらのコンピュータを一定期间、使用不可能な状态に陥らせることも可能です。公司がこの影响を受けた场合、业务の运営に支障を来し、収益の损失につながる恐れもあります。

なぜこの攻撃は Noteworthy(要注意)に分类されたのですか?

要注意に分类された理由として、まず、「WORM_VOBFUS」は、简単に新たな亜种を作成できることが挙げられます。これは、既存するこのワームのコードに判読不能なコードを追加することで、ハッシュ関数「MD5」が変更され、新しい亜种となります。また、このワームは、他のマルウェアをダウンロードする机能を备えていることから、既にこのワームに感染しているコンピュータ上でさらなる不正活动が展开され、ユーザに深刻なリスクが及ぶことになります。また、このワームがコードに难読化の技术を施し、自身の検出および削除を避けることも要注意に分类された1つの理由です。

トレンドマイクロ製品は、どのようにしてこの胁威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盘「Trend Micro Smart Protection Network」の「Webレピュテーション」技术は、「WORM_VOBFUS」および関连する不正なコンポーネントがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技术は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。ユーザは、セキュリティソフトをインストールし常に最新の状态に保つとともに、を无効にすることをお勧めします。

スレット?レスポンス?エンジニア Jessa Dela Torre は、以下のようにコメントしています。

「『WORM_VOBFUS』は、要注意です。なぜなら、このワームは、简単に多様な亜种を作成することができるからです。サイバー犯罪者は、こうして作成された亜种を利用して、既にこのワームに感染したコンピュータ内に别のマルウェアをダウンロードさせることが可能です。これにより、ユーザは、个人情报を失うだけでなく金銭的な损失に见舞われるリスクにもさらされることになります。」