Endpoint Protection

最新の W32.Yimfoca.B の亜種は、44 か国以上、約 20 の言語に及ぶ悪質なリンクを対象にすることができます。対応するインスタントメッセージアプリケーションの数も増えて、現在普及している IM クライアントのほとんどが含まれるようになりました。

以下に、W32.Yimfoca.B のコード例を示します。

このコードによって、以下の国または地域に対応するメッセージが選択されます。

·         スロベニア

·         カナダ

·         ノルウェイ

·         スイス（ドイツ語）

·         スイス（ロマンシュ語）

·         英国

·         メキシコ

·         ベルギー

·         オーストリア

·         ポルトガル

·         オーストラリア

·         スペイン（モダン）

·         スペイン（トラディショナル）

·         ベネズエラ

·         ニュージーランド

·         アイルランド

·         南アフリカ

·         コロンビア

·         ペルー

·         アルゼンチン

·         トルコ

·         パキスタン

·         インドネシア

·         ウクライナ

·         ベラルーシ

·         チェコ共和国

·         デンマーク

·         ドイツ

·         ギリシャ

·         米国

·         フィンランド

·         フランス

·         イスラエル

·         ハンガリー

·         アイスランド

·         イタリア

·         日本

·         韓国

·         オランダ

·         ポーランド

·         ブラジル

·         ルーマニア

·         ロシア

·         クロアチア

·         スロバキア

·         アルバニア

·         スウェーデン

·         タイ

メッセージは、以下の通りです。

·         mira esta fotografa :D [悪意のあるリンク]

·         seen this?? :D [悪意のあるリンク]

·         This is the funniest photo ever! [悪意のあるリンク]

·         olhar para esta foto :D [悪意のあるリンク]

·         Wie findest du das Foto? [悪意のあるリンク]

·         se ps dette bildet :D [悪意のあるリンク]

·         bekijk deze foto :D [悪意のあるリンク]

·         poglej to fotografijo :D [悪意のあるリンク]

·         pogledaj to slike :D [悪意のあるリンク]

·         titta ps denna bild :D [悪意のあるリンク]

·         pozrite sa na to fotografiu :D [悪意のあるリンク]

·         uita-te la aceasta fotografie :D [悪意のあるリンク]

·         katso tStS kuvaa :D [悪意のあるリンク]

·         bu resmi bakmak :D [悪意のあるリンク]

·         spojrzec na to zdjecie :D [悪意のあるリンク]

·         nTzd meg a kTpet :D [悪意のあるリンク]

·         ser ps dette billede :D [悪意のあるリンク]

·         podfvejte se na mou fotku :D [悪意のあるリンク]

·         guardare quest'immagine :D [悪意のあるリンク]

·         regardez cette photo :D [悪意のあるリンク]

対応する国または地域を識別できない場合、次に示す英語のデフォルトメッセージが使用されます。

Seen this?? :D [悪意のあるリンク]

これにより IM による感染の成功率が上がりますが、それだけにとどまりません。

W32.Yimfoca.B には、C から Z までの任意のリムーバブルドライブに感染を広げる新機能が追加されています。W32.Yimfoca.B は、最初に感染してから 5 分ごとに侵入先のコンピュータに取り付けられているリムーバブルドライブに感染を試みます。

そのドライブに感染した W32.Yimfoca.B は、リムーバブルドライブ上にある既存フォルダの属性を「システムフォルダ」および「隠しフォルダ」に設定して非表示にし、そのフォルダをワームのコピーにリンクするショートカットに置き換えます。このショートカットのアイコンはフォルダを表すアイコンであるため、ユーザーはそれが元のフォルダであると信じてしまう可能性があります。

通常、システムファイルが隠しファイル（これはデフォルト設定です）になっている場合は、次のように表示されます。

感染したリムーバブルドライブの実際の中身は、次のようになっています。

この脅威の本当の目的は、感染を拡散させてユーザーのコンピュータにさらに多くのマルウェアをダウンロードすることです。分析した時点では、今回のバージョンの W32.Yimfoca.B は W32.Yimfoca をダウンロードしていました。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。