知らないうちにインストールされてしまう BeamWinHTTP マルウェア!

AhnLab ASEC 分析チームが毎週公開している週間マルウェア統計でも確認できるように、ここ数週間でダウンローダー型のマルウェアである BeamWinHTTP が頻発に発生している。

過去の ASEC 週間マルウェアの統計によると、BeamWinHTTP マルウェアは Top 3に分類されるほど、たくさん出回っている。また、実行するたびに異なるマルウェアをダウンロードしているため、特に注意が必要である。

BeamWinHTTP マルウェアは PUP インストールプログラムによって実行されている。ユーザーが Web 上でプログラムをインストールすると、マルウェアが 含まれている PUP インストールプログラムがダウンロードされて実行することになる。
※ PUP プログラム:Potentially Unwanted Program の略語で、ユーザーの同意を求めるが、ユーザーにとっては不要なプログラム

PUP インストールプログラムは以下のように特定パターンのファイル名で実行することで、正常にインストールできる。インストールプログラムは単なる外殻であって、実際にはインストールプログラムでファイル名を把握して、Web 上でのダウンロードパスとファイル情報を取得するためである。

[図1] PUP インストールプログラム

PUP インストールプログラムを実行すると、以下のような画面が表示されてファイル名を把握し、ダウンロードパスとファイル情報を表示させる。

[図2] PUP インストールプログラム画面 – 1

右下にある詳細設定ボタンをクリックすると、以下のように PUP のインストールに対するユーザーの同意を受け、ここで G-Cleaner のインストールに同意すると、BeamWinHTTP マルウェアが実行されることになる。

[図3] PUP インストールプログラム画面 – 2

インストールを続行すると、ユーザーが必要とするプログラムをダウンロードし、ダウンロードが完了するとユーザーの知らないうちに複数の PUP プログラムのインストールが実行される。

PUP インストールプログラムは以下のように Temp パスにマルウェアをダウンロードして実行させるが、このファイルが BeamWinHTTP マルウェアである。

[図4] BeamWinHTTP マルウェアのダウンロードおよび実行

BeamWinHTTP マルウェアは Garbage Cleaner という PUP プログラムをもう一度インストールするが、このプログラムは単純な一時ファイルを削除すると同時に、ライセンスの購入を誘導する。

[図5] Garbage Cleaner PUP プログラム

そして、最終的に核心的なマルウェアをダウンロードして実行する。ダウンロードされるマルウェアはその時によって異なるが、主にユーザーのアカウント情報を奪取するインフォスティーラー型マルウェアである。

[図6] 追加でダウンロードされるマルウェア

このように、単純なプログラムをダウンロードしようとして個人のアカウント情報が奪取される結果を招く可能性があるという点に、注意が必要である。ユーザーは、Web 上でファイルをダウンロードして使用する際は、信頼できる出所のファイルかどうかを必ず確認しなければならない。

現在 V3 では、このマルウェアを以下のような診断名で診断している。

[ファイルの診断]
Downloader/Win32.BeamLoader.C4356144
Trojan/Win32.MalPe.R368818

[IOC 情報]
cdea4ba9137432aab58f5541e30595eb
90d01324d134695266115e71e43e35dc
10f74757da29c601937ea3ed94f6f807
hxxp://gcleaner.pro/

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments