is702
ニュース

Windows正規のインストーラを使って、ウイルス感染を狙う攻撃を確認

2018/02/20

トレンドマイクロは2月19日、公式ブログで「Windows Installer“msiexec.exe”を利用して『LokiBot』感染に誘導」と題する記事を公開しました。それによると2018年1月下旬、Windowsの正規サービス「Windows Installer」を使用して、ウイルス(マルウェア,不正プログラム)をインストールし脆弱性を突く攻撃を、同社が確認したとのことです。

「Windows Installer」は、インストーラである実行ファイル「msiexec.exe」が、MSI形式のファイルを読み込むことで、ソフトウェアをインストールするサービス機能です。ウイルスをインストールさせるこれまでの攻撃では、「mshta.exe」とPowerShellスクリプトを利用して、ウイルスを導入させるものが一般的でした。今回発見されたようなWindows Installerを使う攻撃方法は、比較的珍しい手法と言えるでしょう。これは、正規のインストーラを悪用することで、ウイルスの検出を困難にするのが狙いと考えられます。トレンドマイクロが確認した攻撃で拡散されるウイルスは「LokiBot」の亜種であることが判明しています。

今回の攻撃では、まず、支払い確認を要求するメールが送られてきます。本文は韓国語で、「Payment copy.Doc」という文書ファイルが添付されており、このファイルを開くことで、遠隔でのコード実行が可能になるMicrosoft Officeの脆弱性「CVE-2017-11882」(2017年11月公開)が悪用され、Windows Installerが実行されることで不正なMSI形式ファイル(zus.msi)が読み込まれることになります。

今のところ、この攻撃は「LokiBot」の拡散にのみ利用されているようですが、今後、他のウイルスの拡散でも利用されるかもしれません。引き続き、ファイルが添付された不審なメール等には注意してください。

日頃からセキュリティ対策として、OSやソフトウェアの更新プログラムが公開されたらスムーズに適用しましょう。可能なものについては、更新プログラムの自動更新を有効にしておくとよいでしょう。



今回の攻撃で送付されているスパムメールの例<br />

今回の攻撃で送付されているスパムメールの例



  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ