解析担当: 篠塚大志
チベット関連の問題を餌として使った最近のマルウェア攻撃は広く知られているので、チベット問題を題材として、悪質な Word 文書を使った新しい攻撃が登場しても特に驚くには当たりません。この攻撃に使われている電子メールは英語で書かれており、米国の衣料品会社に宛てて送信されていました。
チベットに関係のある組織から送信されたように見えますが、メールのヘッダーを見れば、ロシアにあるメールサーバーから送信されていることがわかります。
今回発見されたファイルが他のマルウェアと異質なのは、有名なグラフィックカードメーカーの正規の署名があるプログラムを攻撃経路に使っているという点です。
添付された文書ファイルを開くと脆弱性(CVE-2012-0158)が悪用され、悪用に成功すると NvSmart.exe、NvSmartMax.dll、boot.ldr という 3 つのファイルが投下されます。この 3 つのファイルのうち、NvSmart.exe はデジタル署名されたプログラムです。
解析を始めた時点では、NvSmart.exe ファイルの署名はおそらくはどこかで盗み出されたものだろうと考えられましたが、解析を進めていくと、実際には正規のファイルであることが判明しました。
通常は、NvSmart.exe を実行すると NvSmartMax.dll が外部のライブラリからロードされますが、今回は偽の NvSmartMax.dll ファイルがロードされ、次に boot.ldr ファイルが実行されます。そしてこの boot.ldr ファイルに悪質なコードが潜んでいます。さらに NvSmart.exe はレジストリに追加され、コンピュータを起動するたびに実行されるようになります。
これまでに確認されてきたのは、正規の DLL ファイルを偽の DLL ファイルで上書きし、コンピュータの起動時に自動的にそれをロードするというマルウェアでした。正規のファイルが上書きされて完全に別のファイルになってしまうので、ユーザーはすぐ異常に気づきます。今回のマルウェアでは、新しいファイルが作成されるうえに新しいレジストリエントリも追加されるので、ユーザーはそれを新規ファイルと思い込まされてしまいます。コンピュータを起動すると Run レジストリサブキーがロードされますが、これは有名なグラフィックカードメーカーの有効なデジタル署名が付いたプログラムです。ところが、偽の NvSmartMax.dll ファイルと boot.ldr ファイルはサービスとして登録されておらず、レジストリにも追加されていないので、ほとんどのユーザーは起動時に悪質なコードが実行されることに気づかないおそれがあります。マルウェアの作成者は、その手口の露見を遅らせる手段を常に模索しています。
シマンテック製品は、NvSmartMax.dll と boot.ldr を Backdoor.Trojan として検出します。これらのファイルはキーストロークを記録し、侵入先のコンピュータに関する情報をリモートの攻撃者に送信します。また、コンピュータをリモートで制御することも可能になります。
正規のファイルを介して悪質なファイルをロードする手法は NvSmart.exe. に限ったものではありません。近いうちに、他の正規ファイルにも同じ手口が使われるものと予想されます。
シマンテックは、今回のブログで紹介したようにマルウェア作成者が繰り出す新しい脅威と手口について、今後も監視を続けていく予定です。ユーザーの側でも、疑わしいプログラムは実行せず、システムとウイルス対策ソフトウェアは常に最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。