is702

情報収集するファイル感染型ウイルスを確認-トレンドマイクロ

2013/7/17

トレンドマイクロは7月16日、同社公式ブログにて「情報収集するファイル感染型ウイルス、米国を中心に確認 」と題する文章を公開しました。

今回確認されたファイル感染型ウイルス「PE_EXPIRO」は、JavaおよびPDFファイルの脆弱性を利用するエクスプロイトコードにより感染を広げていきます。さらに典型的なファイル感染型ウイルスとは異なり、情報収集機能を備えているとのことです。

攻撃は、エクスプロイトキットが組み込まれた不正なWebサイトへの誘導から始まります。このサイトにユーザがアクセスすると、複数のエクスプロイトコードを利用した脆弱性攻撃が行われ、ファイル感染型ウイルスがユーザのPCに感染します。このファイル感染型ウイルスが、PC内の実行ファイルを検索し、感染ファイル(PE_EXPIRO.JX)を広げていきます。感染ファイルは、WindowsのプロダクトIDやドライブボリュームのシリアル番号、Windowsの種類といったコンピュータの情報や、 FTP クライアント “Filezilla” にログイン認証情報が保存されている場合、そのアカウント情報を収集します。収集された情報は、DLLファイルに保存され複数のコマンド&コントロール(C&C)サーバへアップロードされます。

なお、今回の感染確認総数の約70%は、米国内で確認されたものでした。またこの攻撃は、特定のFTPクライアントを対象としていることから、組織からの情報収集、またはWebサイト改ざんを目的としている可能性があると推測されています。

トレンドマイクロによれば、情報収集機能とファイル感染機能といった複数の脅威を組み合わせた攻撃は、非常にまれとのことです。そのため、容易に入手できるサイバー犯罪用ツールを利用して作成されたような攻撃ではないと考察しています。