??????????????????????????
しばらくその存在を忘れられていた Xpiro グループのファイルインフェクタが、華々しく、しかも今回はいくつかの悪質な機能を搭載して戻ってきました。今回の亜種は 32 ビットファイルに感染するだけでなく、感染の対象を 64 ビットファイルにまで広げています。この感染はクロスプラットフォームに影響(32 ビット版の Xpiro の亜種が 64 ビット版の実行可能ファイルにも感染でき、その逆も可能)し、持続的です。しかもこのウイルスは、ブラウザセッションを監視する拡張機能を Firefox と Chrome に追加することによって、情報窃盗の機能も拡張されています。
クロスプラットフォームの感染と持続性
クロスプラットフォームの感染はこれまでにも例がありましたが、広く拡散しているインフェクタでこの機能を実装したのは、Xpiro が初めてです。今回の新しい亜種は、以下のアーキテクチャで実行可能ファイルに感染できます。
- Intel 386(32 ビット)
- Intel 64(64 ビット)*
- AMD64(64 ビット)
Xpiro の作成者は、今まで以上に多くのコンピュータへの感染を狙っており、持続性も備えたこのクロスプラットフォームの感染機能を実装しようとあらゆる手段を講じています。
これまでのファイルインフェクタは、他の実行可能ファイルに感染することで拡散し、持続性は考慮していませんでした。今回の亜種は、巧みな手法でこの両方を達成しています。まず、win32 のサービスをすべて列挙し、そのサービスファイルへの感染を試みます。次に、ユーザーのデスクトップフォルダとスタートメニューフォルダにあるすべてのリンクファイル(.lnk)をたどって、標的のファイルに感染します。リンクファイルが選ばれるのは、コンピュータの最初の起動時にシステムまたはユーザーによって実行される可能性が最も高く、したがって後続の再起動時にも持続するからです。最後に、固定ドライブ、リムーバブルドライブ、ネットワークドライブを含めた C から Z のドライブにある実行可能ファイルに感染します。
* Intel 64 ビットのファイルは今回の亜種に感染しますが、コードにバグがある関係でファイルが破損します。シマンテック製品はこのようなファイルを検出して正常な状態に修復します。
情報窃盗機能の拡張
Xpiro の最終的な目的は、侵入先のホストから情報を盗み出すことです。この目的こそ変わっていませんが、手口はさらに目立たなくなっています。コンピュータ上で実行された Xpiro インフェクタは、実行可能ファイルに感染するだけでなく、Firefox や Chrome の拡張機能を追加します。Firefox の拡張機能は表示されませんが、Chrome の拡張機能は「Google Chrome 1.0」という名前なので、正常な拡張機能として通用し、その存在が隠蔽されてしまいます。Firefox の拡張機能は、たとえば以下のような処理を実行できます。
- 拡張機能の存在を隠蔽する
- ブラウザのセキュリティを引き下げる
- ユーザーのインターネット活動を監視する
- ログを盗み出す
- ブラウザを所定の URL にリダイレクトする
インストール後に Firefox の新しいインスタンスを開くと、新しいアドオンがインストールされたことは示されますが、拡張機能としてリストには表示されません。
図 1. 感染前の拡張機能リスト
図 2. 感染後の拡張機能リスト
Xpiro 拡張機能が自身をリストから隠蔽しているため、感染前と感染後に表示される拡張機能の数は変わりません。また、ブラウザ設定を変更してブラウザのセキュリティも引き下げます。
図 3. 引き下げられたブラウザのセキュリティ
ユーザーがブラウザまたはその拡張機能を更新しようとしても、更新は実行されません。これは、Xpiro が URL を 127.0.0.1(ローカル IP アドレス)に書き換えるためであり、設定が変更されてマルウェアとしての存在が露呈してしまうことを避けるための手口です。
図 4. Xpiro によって更新が無効化される
この隠ぺいされている拡張機能は、本来であればブラウザで表示される多くのセキュリティ警告を無効にします。また、有効なときにはフィッシング対策機能を提供するセーフブラウジング機能も一部も無効にします。
Xpiro はブラウザにおける HTTP 活動をすべて監視し、リモートサーバーにアップロードします。次に、以下のリストを所定のサーバーからダウンロードします。
- 標的の URL
- リダイレクト先 URL
このリストにある標的の URL のいずれかにユーザーがアクセスすると、拡張機能によって、リダイレクト先のリストにある URL にリダイレクトされます。リダイレクト先の URL は広告ページや、別のマルウェアをダウンロードするページです。
Xpiro の攻撃は、機能のアップグレードによって持続性と秘匿性が向上し、何より重要なことに、クロスプラットフォームで実行可能ファイルに感染します。他の種類のインフェクタも、Xpiro を模倣して機能強化と複数プラットフォームに対する拡散を狙って、高度な機能を実装することが予想されます。もちろん、シマンテックはこうした高度な脅威からデータや情報を保護することをお約束します。シマンテックは、Xpiro グループの今回の亜種を W32.Xpiro.D および W64.Xpiro として検出し、破損したファイルの修復も行います。ウイルス定義を常に最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。