「TrendLabs(トレンドラボ)」では、2011年4月下旬から 5月中旬、「DIAL_RANFRUCT」に関する日本からの問合せが増加していることを確認しています。当ブログ上でこのプログラムに関して注意喚起するとともに、詳細を見ていきます。■「ダイヤラ」とは? 「DIAL_RANFRUCT」は、一般的に「ダイヤラ」に分類されるプログラムです。「ダイヤラ」とは、本来、ユーザのコンピュータからモデム経由でインターネット接続する際に使用されるプログラムで、通常、ダイヤラの活動そのものは無害であり不正な活動とは言えません。しかし、このプログラムは、特定のアダルトサイトに接続し、必要のない高額の国際電話料金を発生させる活動を実行することから、トレンドマイクロの製品では「DIAL_RANFRUCT」として検出します。現在、モデムを必要とするダイヤルアップ回線や ISDN回線の普及率は、経済産業省の「平成22 年(2010年)通信利用動向調査」によると、2010年は約20%程度であるものの、このダイヤラについての問合せが増加していることから、今回ブログで詳細をお知らせします。 この「DIAL_RANFRUCT」は、実は、2010年上半期に集中して検出されたダイヤラです。特に注目すべきは、このプログラムが日本で集中して確認されていることです(図1参照)。そして、2011年5月になって再び増加傾向を示しています(図2参照)。このプログラムが利用する表示画面も日本語仕様になっていることから、日本のユーザを標的としたダイヤラであるといえるでしょう。 では、このダイヤラの詳しい振る舞いを見ていきましょう。 ■「DIAL_RANFRUCT」はどのような不正活動を実行するのか? この「DIAL_RANFRUCT」も、典型的なダイヤラと同じくユーザの手動インストールでコンピュータに侵入します。そして、侵入したコンピュータ内に、電話帳ファイル(拡張子 PBK)やショートカットファイル(拡張子 LNK)を作成します。作成された電話帳ファイルに、このダイヤラが接続する電話番号が保存されています。一方ショートカットファイルは、”Internetへ接続.lnk” という日本語のファイル名がつけられており、このダイヤラ自身のコピーへリンクしています。また、このショートカットファイル用に以下のようなアイコンが利用されます。 このダイヤラは、アダルトサービスに関連する電話番号に接続し、高額の国際電話料金を発生させます。接続する際、以下のような日本語メッセージ画面で利用規約を表示します。 ユーザが誤って「同意する/接続」をクリックすると、ユーザにモデムの選択を促します(図5参照)。 そして、いずれかのモデムを選択し「OK」ボタンをクリックすることで、このダイヤラは、国際電話に接続します。 ユーザが図5のウインドウの右上「閉じる(×)」をクリックすると、アダルトサービス・サイトにアクセスします。これらのサイトは、トレンドマイクロの「URLフィルタリング」では、「Pornography」に分類されることも判明しています。 ■不利益な事態に巻き込まれないためには モデムを使用しない DSL や光回線による常時接続が主流となった現在、なぜこのようなモデムの選択を促すダイヤラの感染報告が再び増加しているのかは、検体の解析から判断することは困難です。また、上述のとおり、「ダイヤラ」自体は無害であり不正な活動とは言えません。さらに、このダイヤラに感染するには、ユーザ自身が手動でインストールしなければいけないことに留意すべきです。つまり、ユーザの安易な好奇心が不利益な事態を招いている可能性があります。 ユーザは、こうした不必要な感染を防ぐためにも、万が一不審なポップアップメッセージ等が表示されても安易にボタンをクリックしない、といった「心がけ」を今一度徹底することが大切でしょう。※同記事はトレンドマイクロ株式会社による「セキュリティブログ」の転載記事である。
【テクニカルレポート】Macユーザを襲った「Flashback」とは?……トレンドマイクロ セキュリティブログ 2012年4月21日 Apple は、2012年4月12日、Mac OS X を狙った不正プログラム…
【テクニカルレポート】Macユーザを襲った「Flashback」とは?……トレンドマイクロ セキュリティブログ
