PR

Symantec Security Response Weblog


Attack of the clones?」より
September 12,2007 Posted by Kevin Savage

 詐欺アプリケーション(別名「悪意のあるアンチスパイウエア」)の分野では,苦労して稼いだ金をユーザーから巻き上げるために,驚くほど巧妙なソーシャル・エンジニアリングやトリックが果てしなく登場する。筆者らは最近,この種のアプリケーションが急増したことに気付いた。こうした流行を助長している事例の一つとし,先ごろ見つけた「AVSystemCare」という詐欺アプリケーションがある。

このアプリケーションは,以下に挙げる二つの特徴を備える。

・見た目と動作が同じで名前の違うクローンを,容易にいつまでも作り続ける巧みな手口を使っている

・さまざまな言語に対応したローカライズ版を用意している

 AVSystemCareは,名前が異なるものの実は同じファイルをすべてのクローンとして使えるようにするため,うまい方法を採用した。クローンのインストール時にクローンWebサイトから小さなファイルをダウンロードするようにしたのだ。ユーザーがこのファイルを実行すると,アプリケーションの主要コンポーネントがダウンロードされる。こうすることで,クローンWebサイトからダウンロードしたファイルを含め,(同一言語のクローンに限ると)アプリケーションの全ファイルが同じものになる。

 すべてのクローン関連ファイルが同一だと,インストーラは詐欺アプリケーションのインストール時にどのようにしてファイル名を知るのだろう。答えはユーザーのクッキーに入っている。ユーザーがクローンWebサイトにアクセスしてアプリケーションをダウンロードすると,そのユーザーのパソコンには複数のクッキーが保存される。二つのクローンWebサイトにアクセスした後でクッキーを調べると,その内容は非常によく似ている。

 ダウンロードされたファイルは,起動後にユーザーのクッキーを解析し,「gli」「gai」「gI」という文字列の付いたものを探す。条件と一致するクッキーを持つドメインにはランダムな名前の付いたクッキーもあり,このクッキーの「Content」フィールドにクローン・アプリケーションの名前が書いてある。

 インストーラはこの名前を使って残りのインストール作業を続ける。インストール時には,条件に一致したクッキーのうち最新のものを使う。つまり,「クローンA」をダウンロードしてしまってから「クローンB」を配布しているWebサイトにアクセスすると,インストールされるアプリケーションの名前はクローンBになる。

 アプリケーションのインストール前にパソコンからクッキーを削除するとどうなるだろうか。目的のクッキーを見付けられなかったインストーラは,デフォルトの名前を使う。例えば,英語版クローンの場合はAVSystemCareとなる。筆者らが試験したところ,AVSystemCareのクッキー処理エンジンはInternet Explorer(IE)とFirefoxのクッキーをうまく解析したが,OperaとSafariに対応していなかった。

 AVSystemCareクローンという名前が気に入らないのなら,インストール前にクッキーを編集すれば好きな名前を付けられる。

 さらにAVSystemCareの作者は,英語版以外のクローンも同様に作った。現時点で確認できたクローンは11言語(英語,ポルトガル語,ドイツ語,デンマーク語,スペイン語,イタリア語,フランス語,日本語,オランダ語,ノルウェー語,スウェーデン語)ある。現時点でAVSystemCareの各種言語版クローンを配信しているドメインは,「avsystemcare」「virenfrierpc」「norwayvirus」など70以上存在する。英語版と同じく各言語のクローンは,いずれも名前だけが異なる。例として日本語版とノルウェー語版を示そう。

以下のビデオでは,AVSystemCareとそのクローンの類似点をまとめた。

 AVSystemCareという“機械”がクローンを次から次に生み出し続けるので,ユーザーは一層の注意が必要となる。シマンテックは詐欺アプリケーションに絞った新しいWebサイトを開設し,脅威の内容,攻撃方法,防御方法を紹介している。



Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,Attack of the clones?でお読みいただけます。