トレンドマイクロ、「クリックしないとデータ消すよ」日本語の不正プログラム
トレンドマイクロ株式会社は、日本のユーザを標的にしたターゲット型(標的型)攻撃の新たな例として、2011年2月東京本社内のリージョナルトレンドラボが確認した不正プログラム「SkypeStartUp0.exe」を紹介している。
同プログラムは、「Skype」を装ったアイコンで侵入し、「SkypeStartUp0.exe」のファイル名で、インターネット電話ツール「Skype」のインストールモジュールを装ってPC内に侵入。これをユーザが実行すると、「起動中」というタイトルで以下の脅迫文が表示される。
「←をクリックしないとパソコンのデータ全部消すよ 後、データ削除と一緒に個人情報も全て公開するね インターネットのページが開くまでクリックだよ?もちろんわかってるよね・・・? 後、このウィルスを他の人(50人)に感染させたら特別に、ウィルスを駆除してあげるね。(後50人)」
脅迫文の「←」の横に表示されているのは実在するWebサイトへのリンクで、ユーザにクリックさせ最終的にはアフィリエイト収入を得ることが目的と推測されている。ユーザが「閉じる」ボタンをクリックすると、「本当の本当に閉じるの?」というメッセージが表示され、「はい」「いいえ」のいずれを押してもウィンドウは閉じることができるが、プロセスは常駐していることが確認されている。ただ多くの不正プログラムに見られるスタートアップへの登録やファイルの作成、レジストリの変更といった活動は行わず、再起動すると終了する。脅迫しているようにデータの削除や個人情報の公開といった不正活動は現在のところ行われていない。侵入経路は Webサイトからのダウンロード、もしくは感染ユーザによるメール添付による配布などが考えられている。また類似した不正プログラムで「Yahoo!」を装ったアイコンで侵入するファイル名「YahooMail0.exe」の事例も確認されている。
TrendLabs SECURITY BLOG
トレンドマイクロ株式会社
URL: http://blog.trendmicro.co.jp/
http://jp.trendmicro.com/jp/
2011/3/09