マルウェア検証ブログ

FFRI BLOG

2014-11-25 「医療費通知偽装EXE」マルウェア vs. FFR yarai

マーケティング部の野崎です。

2014年9月から10月にかけて、国内の各健康保険組合が、医療費通知を装った不審なメールにご注意くださいと相次いで注意喚起しました。

健康保険組合を称する差出人からメールが届き、医療費の通知を謳った添付ファイルを開くとマルウェアに感染し、コンピューターが乗っ取られてしまう可能性がある、というものです。

添付ファイルは実行形式ですが、アイコンがWordファイルに偽装されており、またファイル名も「医療費通知のお知らせ」等となっているため、それがマルウェアであると気付かずに開いてしまうケースが想定されます。

FFRIではこの攻撃で使用された検体を入手し、弊社の標的型攻撃対策ソフトウェア「FFR yarai」がこの標的型攻撃で使用された未知マルウェアをStatic分析エンジンにより検知し、同様の攻撃を防御できることを確認しましたので、ご報告いたします。



■検証環境
Windows 7 x86 SP1
FFR yarai 2.5.1192.0

■検証した検体(ファイル名 SHA256)
・医療費通知のお知らせ2.exe
8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b 

・健康保険のお知らせ.exe
4a2a9b6a5fedd8de12a963effb7b800b7953c017c8a73a8ef353d661c879d137


検証結果は、下記画面キャプチャのとおり、「FFR yarai の5つのヒューリスティックエンジンの中で、マルウェアの静的解析(※)を担うStatic分析エンジンがマルウェアを検知し、プロセスを停止させ、システムを保護しています。

※静的解析は端末上でマルウェアを動作させることなく、構造上の特徴を見てマルウェアらしさを判断する手法です



マルウェアを動作させず構造を見てマルウェアらしさを判断するFFRI yaraiのヒューリスティックエンジンが感染を防御

今回の検証で使用した FFR yarai 2.5.1192 は、2014年8月22日にリリースしており、本製品をご利用いただいていた場合、今回の攻撃を未然に防ぐことができたといえます。

FFR yaraiはパターンファイルを一切使用しておりませんが、FFRIのエンジニアが最新のマルウェアの動向を研究し、その知見を反映したヒューリスティックエンジンを搭載しているため、マルウェアの構造やふるまいを見て攻撃を検知・防御することが可能です。


関連記事

「Darkhotel」マルウェア vs. FFR yarai

一太郎のゼロデイ脆弱性(CVE-2014-7247) vs. FFR yarai

人知を超えた検出ロジックで未知のマルウェアを検出する第5のエンジン

pagetop