先週末、Flamer のコマンド & コントロール(C&C)サーバーから、感染したいくつかのコンピュータに更新版のコマンドが送信されました。このコマンドは、侵入先のコンピュータから Flamer を完全に削除するためのものでした。Flamer を使う攻撃者は、少なくともいくつかの C&C サーバーをまだ制御しており、それを利用して、一部の侵入先のコンピュータと通信できたのです。ドメイン登録アカウントも引き続き制御していたため、新しいホスティングプロバイダでこれらのドメインをホストできました。
感染したコンピュータは、事前に設定された C&C サーバーと定期的に通信して、追加のコマンドを取得しようとします。この要求を受けて C&C サーバーは browse32.ocx という名前のファイルを提供します。このファイルは、手短に言えば、侵入先のコンピュータから Flamer を削除する機能を持つモジュールであり、「アンインストーラ」と呼んでもいいかもしれません。
browse32.ocx モジュールには 2 つのエクスポートがあります。
browse32.ocx モジュールは、Flamer が使うファイルとフォルダの長大なリストを含んでおり、そのリストに該当するファイルをディスク上で検索して削除します。そのうえで、感染についての情報が漏れないように、ランダムな文字でディスクを上書きします。このモジュールには、上書き操作で使うランダムな文字を生成するルーチンもあり、感染の痕跡をわずかでも残さないようにしています。
このモジュールの標的となるファイルとフォルダを以下に挙げます。
削除されるファイル
削除されるフォルダ
このモジュールが実際の現場からは確認も復元もされずハニーポットで捕捉されたのも、これで説明がつきます。クライアントがこのファイルを受け取ると、browse32.ocx モジュール自体も含め、Flamer の痕跡はすべて削除されてしまいます。
シマンテックが入手したバージョンのモジュールは作成日が 2012 年 5 月 9 日で、これは Flamer の情報が公開された直前に当たります。過去に、このモジュールの古いバージョンが使われていた可能性はかなり高いでしょう。しかも、このモジュールはつい先週クライアントに送信されたコマンドと考えられます。
このモジュールは、存在自体が注目に値します。以前に解析した Flamer のコードでは、SUICIDE という名前のコンポーネントが使われており、その機能は browse32.ocx と類似しています。マルウェアの作成者がなぜ、SUICIDE 機能を使うのをやめ、新しいモジュールに基づいて目立った処理を実行するようになったのか、その理由は不明です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。