act2.com blog

先のトピックで紹介したバックドア型ウィルス、SabPab の新たな亜種が、Word 文書を使って、最初の亜種と同じデータ（ペイロード）を送信してくることがわかりました。この亜種は、以前の記事で紹介したのと同じ手法で、Mac に Tibet.C 破壊型ソフト（マルウェア）としてファイルをインストールします。

これらのマルウェアはいずれも Word 文書を独自の方法で利用しており、それぞれのファイルは三部構成になっています。まず、最初の部分で Word 文書の脆弱性を利用します。２番目の部分がマルウェアとなっており、Mac にインストールされます。そして最後の部分が、ユーザーがファイルをダブルクリックしたときに表示される実際の Word 文書です。Intego が見つけたファイルの例では、チベット語の文書が表示されています。

これらの Word 文書は、Word の脆弱性（2009年6月に修正済み）を利用すると同時に、多くのユーザがバージョンの更新を怠っている現実を悪用しています。Word 2004と 2006 は共に脆弱ですが、最新の Word 2011 はそうではありません。また、この脆弱性は .doc 拡張子で露呈しますが、新たな .docx 拡張子のファイルでは発現しません。

Tibet.C マルウェアの記事で、「 Word 文書のコードは暗号化されていないために、マルウェア作成者はそのコピーを手に入れさえすれば、いくらでもコードを書き換えて Word 文書を好きな形で配信できる」と書きましたが、今まさにその通りのことが起こっています。実際、Intego は最初の部分のサンプルを入手しました。つまり、感染性の Word ファイルを作ろうとするならば、この最初の部分を手に入れれば、あとは残りの2つの部分と組み合わせて配信するだけでマルウェアをばらまくことが可能になってしまうわけです。

Intego は今回、SabPab の新型亜種のサンプルも手に入れましたが、これが広く流布しているかどうかは不明です。一般的に、この種のマルウェアは大量のユーザにスパムメールを配信することにより、Eメールを介して配布されます。そのため、これが具体的にどこから発生したのかを突き止めるのは困難です。しかし、今後の感染のリスクは低いでしょう。

Intego の Mac 用アンチウィルス「ウィルスバリア X6」（2012年4月12日以降発売のもの）は SabPab バックドア型ウィルスのマルウェア定義を持っており、SabPab だけでなく、Word 文書を使った同様のマルウェアを検出して削除します。