セットアッププログラムを装い、感染者のスクリーンショットや個人情報をWebで公開してしまうトロイの木馬「Infostealer.Kenzero」(シマンテック名)が、昨年11月に続いて再び大暴れ。連休をはさんだこの数日間で、すでに4500名を超える被害者が出ている。
Kenzeroは、約40種類のアプリケーションやアダルトゲームに見せかけた圧縮ファイルの中の、セットアッププログラム(setup.exe)に仕掛けられていた。これを実行すると、製品のセットアップ時と同じようにインストールウィザードが現れ、ユーザー登録と称して氏名やメールアドレス、住所、電話番号などの個人情報を入力させようとする。
指示に従ってセットアップを進めると、これら入力情報と一緒にデスクトップのスクリーンショットやクリップボードの内容、パソコンのシステム情報、インストールされているプログラム一覧、最近使ったファイルの一覧、Internet Explorerのお気に入り一覧などが取得され、攻撃者のWebサイトへと送信されてしまう。当該サイトでは、盗み取った情報を誰でも閲覧できる形で掲載し、感染者をそこに誘導。削除要請を出すよう仕向ける。
ここで削除要請を出してしまうと、今度は「著作権侵害に関する重要なお知らせ」というメールが届き、著作権侵害の和解案として使用料相当額を振り込むよう求めて来るらしい。著作権法の改正で違法ダウンロードが私的複製から除外され犯罪行為になったとか、和解に応じなければ法的措置をとるなどの脅し文句をちりばめた、典型的な架空請求メールだ。このようなメールが届いたら、最寄りの警察署に相談してほしい。
当該サイトへの掲載は18日夜から始まり、いまだにサイトは稼働を続けている。23日午後現在、掲載された感染被害者の情報は4700件を突破。平日の日中であるにも関わらず、1時間に10数件の割合で増え続けており、さらなる被害の拡大が懸念される。
21日には、このウイルスに感染してしまった中学校の先生が、生徒の個人情報流出と勘違いされ報道されるというハプニングも発生した。先生が行っていた行為も非はあるが、このようなウイルスをばらまき、恐喝まがいの架空請求を行っている攻撃者がいるということに、もっと目を向けてほしい。このようなことを行う者こそ、真っ先に非難されるべきだろう。
なお、今回のウイルスは、Antinny(アンティニー)に代表されるパソコン内のファイルを公開してしまうウイルスとは違い、外部に流出するのはWindowsの「最近使ったファイル」にあるファイル一覧まで。そこにある個々のファイルの中身は流出していないので、感染してしまった人もその点だけは安心していただきたい。
(ネットセキュリティニュース2010/03/23)
【ウイルス情報】
・Infostealer.Kenzero(シマンテック)
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2009-112708-3058-99