Facebookの「友達リクエスト」を装ったウイルスメールが大量にばら撒かれ、22日頃から国内のユーザーの元にも多数飛来している。
ウイルスメールは、「いろいろな氏名 wants to be friends on Facebook.」の件名で届く英文メール。本文には、友達リクエストを承認するボタン(Confirm Friend Request)と全てのリクエストを閲覧するボタン(See All Requests)があり、どちらをクリックしてもFacebookの偽サイトへと誘導される。
英語のページしかない誘導先の偽サイトでは、Flash Playerが古いので最新版をインストールするよう指示され、指示に従ってクリックすると「updateflash.exe」がダウンロードされる。それらしいファイル名が付けられているが、Flash Playerのアップデータなどではなく、これがウイルス本体。セキュリティの警告を無視して実行してしまうと、「Zbot」などの名前で検出されるウイルスに感染してしまう。外部からパソコンをコントロールされたり、アカウントを盗み取られるなどの、さまざまな災いを引き起こす。
このウイルスは、本通信の「国内フィッシング事情」にしばしば登場する、FastFlux型のフィッシングやウイルス配布でお馴染みのもの。6月、7月に続く攻撃で、偽サイトをホストするボットネットの中には、国内の感染パソコンも含まれている。
ウイルスメールの誘導先に使われているドメインは、「pmstdl.com」「fileuplarc.com」「downtohole.com」「wungrp.com」と順次増殖しおり、一部無効化されたものの、24日現在も運営を続けている。ブラウザやセキュリティソフトが提供する、危険なサイトのブロック機能やウイルス検出の対応が、やや後手に回っているようなので、騙されてウイルスを実行してしまわないよう、ご注意いただきたい。
(2011/08/24 ネットセキュリティニュース)
【関連URL】
・ZBOT Variant That Uses Domain-Generation Technique Spreads Through Facebook(TrendLabs Malware Blog)
http://blog.trendmicro.com/zbot-variant-that-uses-domain-generation-technique-spreads-through-facebook/