Tidserv(別名 TDL)は、検出をすり抜けるためにルートキット機能を採用している複雑な脅威です。発見は 2008 年に遡り、それ以来シマンテックの監視網で検出され続けています。拡散が確認されている Tidserv の新しい亜種では、正規の CEF(Chromium Embedded Framework)が利用され始めました。マルウェアが正規のフレームワークを不正な目的に利用する例はこれが初めてではありませんが、Tidserv の今回の新しい亜種は、正常に機能するために 50 MB ものフレームワークをダウンロードする必要があり、マルウェアとしては異例です。
Backdoor.Tidserv の亜種はモジュール式のフレームワークを利用して、新しいモジュールをダウンロードし、正常なプロセスにインジェクトすることができます。これまでの亜種は、リンクのクリックや広告のポップアップといったネットワーク操作の実行に serf332 というモジュールを使っていました。serf332 は COM(Component Object Model)オブジェクトを利用して Web ページを開き、ページコンテンツを検査します。先週シマンテックは、Tidserv が cef32 という新しいモジュールをダウンロードしていることを確認しました。新しい cef32 モジュールは、serf332 と同じ機能を持っていますが、CEF の一部である cef.dll を必要とします。そのため、異例なことに 50 MB の CEF すべてを侵入先のシステムにダウンロードしなければなりません。
CEF のダウンロード数は、過去 18 日間でかなりの増加を示しています。そのうち何件が Tidserv の感染活動に関係しているかは不明ですが、これらのダウンロードがマルウェアに起因するとすれば、Tidserv に感染したコンピュータは相当の数にのぼります。
図 1. 過去 18 日間における CEF のダウンロード数
CEF は、Google Chromium プロジェクトに基づいた Web ブラウザコントロールを提供します。開発者はそれを利用して、Web ブラウザウィンドウを持つアプリケーションを作成できます。HTML の解析や JavaScript の解析と実行など、ブラウザの実行に必要なすべての機能を実行するのが CEF ライブラリです。
図 2. CEF ライブラリに渡される Tidserv の JavaScript
CEF を使うことで、Tidserv は基本的な Web ブラウザ機能の多くを自身のモジュールから CEF ライブラリに移行できるため、より小さなモジュールを使って、新機能の追加更新をより簡単に行えるようになります。CEF を使う場合の欠点は、cef32 モジュールをロードするために cef.dll が必要なことです。CEF の zip ファイルをダウンロードする URL は現在、serf332 バイナリにハードコードされているので、この URL を変更するたびに、serf332 モジュールの更新も必要になります。
CEF とその作成者は、不法または不正な目的に CEF フレームワークを利用することを承認も推奨もしていません。このような悪用を阻止するために、CEF の関係者は可能な範囲であらゆる措置を講じる予定です。そのため、マルウェアに悪用されていたバイナリは Google Code プロジェクトのページから削除されています。現在、今回のような悪用を可能な限り防止する無償のバイナリをユーザーに提供する別の方法が検討されています。
シマンテックは、Tidserv のような脅威の進化を常に追跡しています。最新の STAR マルウェア対策技術を利用して、できる限りの保護対策を講じることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。