IMや共有フォルダ経由で感染する「WORM_PROLACO」--多段的な防御策が必要

  • このエントリーをはてなブックマークに追加

 トレンドマイクロは12月6日、11月の「インターネット脅威マンスリーレポート」を発表した。レポートによると、11月の不正プログラム感染被害の総報告数は1049件で、10月の1294件から減少した。

 11月の感染報告数ランキングでは、「WORM_PROLACO(プロラコ)」が2位に急浮上した。日本をはじめ、米国やアジア、欧州など幅広い範囲で感染が報告されているWORM_PROLACOは、目新しい機能はないが複数の機能が搭載されており、多段的な防御策を講じる必要があるとしている。

 WORM_PROLACOは、AmazonやGoogle、Twitterといった有名なサービスからの通知メールを装っており、ワーム本体をZIP形式で圧縮したファイルが添付されている。これを解凍して実行すると感染し、メールやリムーバブルメディア、共有フォルダ、インスタントメッセンジャーを経由して感染を広げる。

 送信するメールには、不正プログラムを添付したもののほか、銀行を装いフィッシングサイトへ誘導するものも確認されている。また、ルートキット機能による自身の活動の隠蔽や別の不正プログラムの作成も行う。感染報告数ランキングで5位にランクインした「TROJ_HILOTI(ヒロティ)」がそのひとつだ。

 WORM_PROLACOがウェブサーバに感染すると、公開フォルダにセキュリティ修正プログラムのダウンロードページを装ったindex.htmlファイルと自身のコピーを作成する。実際にウェブサイトが書き換わった例は確認されていないが、常套化しているウェブ経由の感染手口のひとつであり、注意が必要としている。

 11月の感染報告数ランキングは、1位が「WORM_DOWNAD(ダウンアド、29件)」、2位が「MAL_OTORUN(オートラン)」とWORM_PROLACO(ともに20件)、4位が「WORM_AUTORUN(オートラン、15件)」、5位がTROJ_HILOTI(13件)となっている。

  • このエントリーをはてなブックマークに追加