Upatreウイルス Zbotなど別のマルウェアをダウンロードしてきて感染させる!?
Windowsパソコンをターゲットに、何か別のマルウェアをダウンロードしてきて起動して感染させる機能を持つダウンローダ型マルウェアUpatre。。。
● Upatre: Emerging Up(d)at(er) in the wild (Microsoft)
http://blogs.technet.com/b/mmpc/archive/2013/10/31/upatre-emerging-up-d-at-er-in-the-wild.aspx
http://blogs.technet.com/b/mmpc/archive/2013/10/31/upatre-emerging-up-d-at-er-in-the-wild.aspx
● 2013年のスパムメール脅威状況を振り返る 添付される不正プログラムの変化 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8386
http://blog.trendmicro.co.jp/archives/8386
感染経路で特に多いのが英語表記のスパムメール由来
Upatreウイルスの感染経路は。『英語表記なスパムメールの添付ファイルを自爆感染』(特に多い) or 『ドライブバイ・ダウンロード攻撃で強制感染』 の2パターンでしょうか。
Microsoft TrojanDownloader:Win32/Upatre.A、TrojanDownloader:Win32/Upatre.B、TrojanDownloader:Win32/Upatre.AD 、TrojanDownloader:Win32/Upatre.Y など
Trend Micro TROJ_UPATRE
Symantec Downloader.Upatre
hxxps://malwr.com/analysis/YzllNGZjYTBhMzQ2NGFhMWIxM2M3MGY4ZWM4ZmNjMzA/
hxxps://malwr.com/analysis/YzM5NzI0ODc1ZjU3NDczNjg1MzdmMzY0MjM5ZGEyZmE/
hxxps://malwr.com/analysis/YzM5NzI0ODc1ZjU3NDczNjg1MzdmMzY0MjM5ZGEyZmE/
◆ ネットワークの接続例
net-translscl.com (91.239.15.212) /b/shoe/***
own-hits.com (109.163.239.243) /libs*.*/jquery/
own-hits.com (109.163.239.243) /libs*.*/ajax/
own-hits.com (109.163.239.243) /libs*.*/ajax/
◆ ドロップされるファイル
「Java アップデート?」「Flash Player アプデート?」みたいな感じで、実行ファイルは偽装した名前で動くー
- C:\Users\[user name]\AppData\Local\Temp\Java_Update_<random numbers>.exe
- C:\Users\[user name]\AppData\Local\Temp\UpdateFlashPlayer_<random numbers>.exe
これが追加のマルウェアをダウンロードしてきます。
たとえば、ネット銀行の情報を盗んで口座から預金が不正送金されてしまう被害でおなじみZbotウイルス(PWS:Win32/Zbot)です。
加えて、この Zbotウイルス がファイルを暗号化して身代金をせびるランサムウェア CryptoLocker ウイルスを更に送り込んでくパターンも報告されてます。
”運び役”の処理を無事終えたら、Upatreウイルスは自分自身を削除します。
また、Upatreウイルスが外部ネットワークと接続できない場合も、”運び役”として動けないので自分自身を削除します。
ってことで、ユーザーがファイアウォール(アウトバウンド側)をうまく制御できてれば、被害を最小限に抑えることができる一方で、下のような状況だとユーザー側が何かしら対処しておくことが必須です。
- ファイアウォールが付いてない場合が多い無料ウイルス対策ソフト
- 人気セキュリティソフトの中でファイアウォールが付いてなく価格が安い下位版
(Norton Antivirus、ESET NOD32、Kaspersky Anti-Virus など) - アウトバウンド側がデフォの設定で開いたままの Windows Firewall
<2014年 追記1...>
ファイルを暗号化して身代金をせびるランサムウェア CryptoWall ウイルスをダウンロードしてくる挙動が確認されてます。
<2015年 追記2...>
ネットバンキングの不正送金を企む Dyre / Dyzap / Dyreza ウイルスをダウンロードしてくる挙動が確認されてます。