トレンドマイクロは9月9日、マルウェア「Mevade」の影響で匿名通信システム「Tor」への接続ユーザー数が急増したことに関して、Mevadeの活動と侵入方法についての調査結果を報告した。

同社の研究機関トレンドラボが収集した最初の検体"BKDR _ MEVADE.A"は、「FlashPlayerUpdateService.exe」という名称の不正なファイルによってダウンロードされ、ユーザー環境へ侵入したケースが確認されている。トレンドマイクロではこのファイルを"TROJ _ DLOADE.FBV"と検知している。

"TROJ _ DLOADE.FBV"は、正規のAdobe Flash Playerの更新プログラムと同じファイル名を利用しているが、ファイルのプロパティを参照することで見分けることができる。正規のものには署名がされており、バージョンの数値も異なる。

左が偽exeファイル、右が電子署名付exeファイル

また、この偽ファイルは次のURLパスのパターンで自身のコマンド&コントロール(C&C)サーバに接続することが確認されている。このC&CサーバをホストするIPアドレスは、ロシア国内に存在しているとのことだ。

http://<不正ドメイン>/updater/<32文字のランダムな16進数文字列>/<1桁の数字>

偽ファイルよってダウンロードされる"BKDR _ MEVADE.A"は、HTTPを経由してC&Cサーバと通信し、コマンドを受け取る。このコマンドにより自身のコピーを更新し、また「Secure Shell(SSH)」を利用して特定の場所に接続する。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によれば、"TROJ _ DLOADE.FBV"は複数の国々で存在が確認されたという。感染国の割合として、日本が最も多く25%、次いで米国が19%と続く。

一方で"BKDR _ MEVADE.A"は、"TROJ _ DLOADE.FBV"と異なる感染状況であることが判明しており、米国が95%と集中しているほか、カナダが3%、ハンガリーが2%と続いている。つまり"TROJ _ DLOADE.FBV"は、Mevadeを拡散させるためだけに利用されたわけではないことを示している。

同社は、Mevadeそのものに加えて、「ADW_BPROTECT」もPC上にダウンロードされていたことを確認した。これは攻撃者によるアドウェア拡散に関連するものである。このアドウェアのダウンロードとMevadeで構成されるボットネットは、不正プログラムやツールバーのインストールを介して金銭を獲得しているという調査結果と一致する。トレンドマイクロによれば、この拡散方法は、他の不正プログラムをダウンロードする従来型の「ダウンローダ」と似通っているという。

"BKDR _ MEVADE.B"および"BKDR _ MEVADE.C"として検出される新たな亜種のMevadeは、SSH通信を利用しない代わりに、Torのネットワークを利用して自らのトラフィックを隠ぺいする。それ以外の活動や拡散方法は、以前のものと変わらないという。

トレンドマイクロでは、"BKDR _ MEVADE.B"および"BKDR _ MEVADE.C"の侵入経路に関して調査中と発表しており、追加情報を確認次第、ブログ上で報告するという。