最近 ASEC 分析チームは、Excel ドキュメントを閲覧するとウイルスの形をとって伝播するマルウェアの拡散が続いていることを確認した。このマルウェアは正常な Excel ファイルを感染させるウイルス機能だけでなく、Downloader、DNS Spoofing 等のさらなる不正な振る舞いを実行しており、ユーザーは特に注意が必要である。
これらのマルウェアは、Excel ファイルの内部に含まれている VBA(Visual Basic for Applications)コードを通じてウイルスの伝播を行うことが共通点としてあげられる。感染した Excel ドキュメントを実行すると、ウイルス伝播のために、ウイルスの VBA コードが含まれた Excel ドキュメントを Excel の開始ディレクトリにドロップする。その後、任意の Excel ドキュメントを実行すると Excel の開始ディレクトリにドロップされた不正な Excel ファイルが自動で実行される形で、ウイルスへの感染およびさらなる不正な振る舞いが実行される。ウイルスに感染するとマルウェアのタイプに応じて Downloader や DNS Spoofing の不正な行為が発現する。
[1] Downloader タイプのマルウェア
– MD5: f8886b0d734c5ddcccd2a0d57d383637
– 検知名: Virus/X97M.Downloader
この Excel ドキュメントは正常な Excel ドキュメントがウイルスに感染した形であり、VBA コード上においてウイルスおよびさらなる不正な振る舞いのためのコードが定義されていることが確認できる。
ドキュメント内部のマルウェアは以下の図のようにワークブック閲覧イベントが発生する時に自動で実行される Procedure の Workbook_Open() 内部に、ウイルス伝播のための「d2p」 Procedure と Downloader ロジックが含まれた「boosting」 Procedure を呼び出す方式により不正な行為を実行する。
ウイルス伝播ロジックが位置する d2p Procedure は以下の図のように Excel の開始ディレクトリの位置に「boosting.xls」というファイル名でウイルス伝播のための Excel ファイルを生成する。その後、任意のドキュメントを実行すると「%AppData%\Microsoft\Excel\XLSTART\boosting.xls」パスにドロップされたマルウェアが自動実行され、現在閲覧中の Excel ドキュメントを感染させる構造で不正な行為が発現する。
「boosting.xls」ファイルのウイルス伝播は以下のように一定時間経過後に実行され、当該ファイル内に定義されたオリジナルコードを削除する。その後、感染のためのコードとさらなる不正な行為を行うためのコードを当該 Excel ファイルの Workbook_Open Procedure に定義する。
Downloader タイプのマルウェアの場合、感染後に以下のように C2 から Miner 関連の実行ファイルをダウンロードして実行する。
ダウンロード元の C2 アドレスは以下の通りである。
– hxxp://45.78.21.150/boost/boosting[.]exe
– hxxp://45.78.21.150/boost/config[.]txt
さらに、このタイプの Excel ウイルスは「%AppData%\Microsoft\Excel\XLSTART\boosting.xls」ファイルが存在するかどうかをチェックしたあと、ファイルが存在しない場合はウイルスの伝播、およびさらなる不正な振る舞いを実行する。したがって、当該パスに0バイトのサイズでダミーファイルが存在する場合、その不正な行為の発現を事前に遮断することができる。
[2] DNS Spoofing タイプのマルウェア
– MD5: 97841a3bf7ffec57a2586552b05c0ec5
– 検知名: Virus/MSExcel.Xanpei
この Excel ドキュメントも同様に正常な Excel ドキュメントがウイルスに感染した形であり、VBA コード上においてウイルス、およびさらなる不正な行為のためのコードが定義されている。ただし、すでに取り上げた Downloader タイプの Excel ウイルスとは異なり、このウイルスタイプの場合はウイルス伝播のために Excel の開始ディレクトリにドロップする不正な Excel ファイル名(accerlate.xls)に違いがある。また、ウイルス伝播後のファイルダウンロードではなく、host ファイル改ざんによる DNS Spoofing を以下のように実行するという点で違いがある。
DNS Spoofing C2 アドレスは以下の通りである。
– hxxp://45.78.21.150
AhnLab は、この不正なドキュメントファイルとダウンロードされる実行ファイルを以下のように検知している。また、不正な Excel ファイルがアクセスする不正な C2 アドレスを ASD ネットワークによって遮断している。
[ファイル検知]
– Virus/XLS.Xanpei (2022.03.14.02)
– Virus/X97M.Downloader (2018.12.11.07)
– Virus/MSExcel.Xanpei (2022.03.14.03)
– Trojan/Win64.BitMiner (2017.11.13.03)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報