脅威リサーチ

ジョークのつもりか、正気なのか: MBRに被害をもたらすCOVID-22

投稿者 Shunichi Imano および Fred Gutierrez | 2021年11月29日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Windowsユーザー
影響:             コンピュータが起動できなくなる
深刻度:            

新型コロナウイルス(COVID-19)のパンデミックが始まってから約2年が経ちますが、サイバー犯罪者は依然としてこうした状況を攻撃ベクトルとして利用しています。しかし今回、この攻撃者はまだ起きていない新型コロナウイルスのパンデミックで罠を仕掛けています。先日、FortiGuard Labsは、謎のCOVID22インストーラーを装った謎のマルウェアを新たに発見しました。「ジョーク」マルウェアの特徴が数多くありますが、同時に破壊的なマルウェアであり、感染したコンピュータは起動できなくなります。このマルウェアには、データを暗号化して、与えた損害を元に戻すための身代金を要求する機能がありません。このことから、これはむしろ、感染したシステムを動作不能にするように設計された新たな破壊的マルウェアの亜種と言えます。このブログでは、このマルウェアの仕組みについて説明します。

COVID-22の作用

マルウェアのファイル名はCovid22です。命名体系に馴染みのない人に説明すると、COVID-19とは、新型コロナウイルス感染症(Coronavirus disease)の略語と、感染爆発が発生した年を表す19が組み合わされています。Covid22のファイル名は、現在の新型コロナウイルス感染症になぞらえていて、2022年に起こるかもしれない恐怖と破滅のイメージをもたらすサイバーパンデミックを想起させます。マルウェアが具体的にどうやって配布されたのかは不明ですが、マルウェアの作成者は、恐怖心をあおって被害者がファイルを開くよう誘導しようとしていました。

マルウェア自体は高度なものではありませんが、実行される複数のアクションは、被害者に恐怖心を植え付けてから、実際のパニックを引き起こすように設計されています。しかしその前に、最初にファイルを手動で実行すると、あたかもアプリケーションであるかのように、被害者となる可能性のあるユーザーに対し、コンピュータにCovid-22をインストールするかどうかの確認が求められます。

図1:インストールの許可を求めるインストーラー画面

被害者がインストールを続行すると、マルウェアは複数の悪意のあるファイルをドロップしてから、コンピュータを強制的に再起動します。ドロップされたファイル名はシンプルで、動作に因んだ名前になっています。下記にてファイル名を実行順に列記します。

  • Covid22Server.exeは、ドロップされたscript.txt内のコマンドを実行します
  • lol.vbsは「Your PC has been infected by Covid-22 Corona Virus! Enjoy the death of your pc!」(あなたのPCはCovid-22のコロナウイルスに感染しました! PCのご冥福をお祈りします!)というメッセージボックスを表示する無限ループを作成します
図2:「Your PC has been infected by Covid-22 Corona Virus!Enjoy the death of your pc!」のポップ
  • speakwh.vbsは、コンピュータのスピーカーで「coronavirus(コロナウイルス)」とループでアナウンスします
  • CoronaPopup.exeは、「Covid-22 has infected your PC!」(あなたのPCはCovid-22に感染しました!)のタイトルと本物のコロナウイルスの画像をポップアップ表示します
図3:ウイルスの画像
  • ClutterScreen.exeは、ピクセルのブロックを繰り返し動かして画面を乱します
  • x.vbsは、「Corona Virus!」(コロナウイルス!)のポップアップメッセージを50回表示します
図4:「Corona Virus!」のポップアップメッセージ画像
  • noescapes.vbsは、「THERE IS NO ESCAPE」(エスケープがありません)のポップアップメッセージを10回表示します
図5:「THERE IS NO ESCAPE」のポップアップメッセージ画像
  • icons.exeは、赤いXマークで画面を埋め尽くします
図6:赤いXマークで埋め尽くされた画面の画像
  • final.vbsは、「Bye!」(さようなら)のポップアップメッセージを表示します
図7:「BYE!!!」のポップアップメッセージ画像

これらは、ジョークプログラムの典型的な動作で、ユーザーを不快にしたり、からかったりするのが目的であることが一般的です。しかし、次のような動作はまったく笑えません。マルウェアは、悪意のあるWipeMBR.exeワイパーマルウェアをドロップして実行します。このマルウェアは、最初の512バイトをゼロに書き換えて、マスターブートレコード(MBR)を破壊してしまうのです。そして、マルウェアは、次のポップアップメッセージを表示して、コンピュータを強制的に再起動します:

図8:侵害されたコンピュータを強制的に再起動する直前に表示されるポップアップメッセージ

MBRは、ハードドライブのパーティションに関する情報を有し、オペレーティングシステム(OS)のローダーとして機能するため、侵害されたコンピュータは、OSをロードして再起動することができなくなります。ユーザーにとって幸いなこととしては、侵害されたデバイス上のファイルが破壊されたり、盗まれたりしないことです。つまり被害に遭っても、ハードドライブからユーザーファイルを復元することは可能なのです。また、マルウェアが身代金を要求することもありません。

2020年4月にSonicWall社のブログで紹介されたMBRワイパーとほぼ同一という結果が出ていますが、フォーティネットの分析では、ワイパーコードにおいて類似点が確認されませんでした。この新しい亜種は、単にMBRをゼロに書き換えてしまうのです。

破壊されたMBRを修復する方法

最新のWindowsであれば、MBRの修復は比較的簡単です。感染したコンピュータが再起動すると(場合によっては再起動が数回必要)、システムは自動修復モードを開始します。まず、[Advanced Options](詳細オプション)、[Troubleshoot](トラブルシューティング)の順に選択します。または、[Advanced Options]で、[Command Prompt](コマンドプロンプト)を選択しても構いません。[Command Prompt]の場合は、「bootrec.exe /fixmbr」と入力して実行します。

それ以外にもっと簡単なオプションとしては、画面上の[Startup Repair](スタートアップ修復)を選択して、[Command Prompt]を実行することもできます。ただし、[Startup Repair]を選択すると、ジョブの完了に時間がかかるのが難点です。

何らかの理由で自動修復モードが起動しない場合、リカバリディスクやドライブからシステムを起動する必要があります。なお、リカバリメディアでシステムを起動する場合、BIOS設定を予め変更しておく必要があります。変更しておかないと、書き換えられたMBRで起動しようとするため、起動エラーが発生してしまいます。リカバリメディアでシステムが起動したら、コマンドプロンプトを実行できるようになるので、そこから「bootrec.exe /fixmbr」コマンドを実行することができます。

また、ファイルの破損、暗号化、破壊の場合に備えて、データを外部ストレージにバックアップすることの重要性をシステム管理者に注意喚起しておくことも大切です。また、リカバリメディアを事前に作成しておくこともできます。そうしておけば、被害を受けても、動作するコンピュータが必要な場合にホームユーザーが困ることはありません。

「MBRに被害をもたらすCOVID-22」の結論

単なるジョークプログラムに見えますが、感染したシステムに破壊をもたらす設計になっています。今回は、マルウェアがユーザーのデータに一切影響を及ぼさなかったことが被害者にとっては幸いでしたが、次回はわかりません。侵害されたコンピュータ上のファイルが暗号化されたり破壊されたりして回復できなくなることを想像してみてください。ネット経由で取得した不明なファイルの実行には常に注意してください。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGateFortiClientおよびFortiMailで使用されるFortiGuard Labsアンチウイルスサービスや、FortiEDRにより、このマルウェアからすでに保護されています:

W32/Ursu.558C!tr
Malicious_Behavior.SB
VBS/BadJoke.8A6B!tr
VBS/BadJoke.7182!tr
VBS/BadJoke.84AB!tr
VBS/BadJoke.0C12!tr
VBS/BadJoke.DF52!tr
W32/BadJoke.DCAB!tr

FortiEDRは、ダウンロードされた実行可能ファイルの振る舞いから、悪意のあるファイルとして検知します。

IOC(Indicators of Compromise:侵害指標)

Sample SHA-256:
[Covid22.exe]
79f3b39797f0e85d9e537397a6f8966bc288d1b83ae1c313c825fbd17698879e
[ClutterScreen.exe]
726DC8D52C9CF794412941BFBD27AF8F6FA27E72154A63F5C81A42BA40BD972D
[CoronaPopup.exe]
80C9F65617386940153CC4D42E1097DEB79B4F9C98C67E6025BDC1CA03AD8FB7
[icons.exe]
496CABBD18530780A3CB75340BDDD7F74A71E84C83DF4D185CFC6EC71D14C41E
[WipeMBR.exe]
5FC9080177A096DE2B717F2F2196867B6966900E129E5BC4E412D5DCA7ED9E60
[final.vbs]
EA2EF4196586BF851D4DC422A04D51AD2CB552BF5AAE2DF361D1ED2D4842B4BA
[lol.vbs]
C88D3022B25EF86CD19CE99815AD26A1F9A201F69974577DA93E08328E047410
[noescapez.vbs]
3D519FC10BC2B6CAA5A27069DA55B1614CC97C1DFD4BCDC1DD7F36E686D913F1
[x.vbs]
E22F004CF9E7C4C7B52BDA59DB2B57816992CB01FDBEF6675760FDD7BCD29728
[speakwh.vbs]
4624876389F6DDFB111FBBF3473D7C6B5555ED8A0F31C37E822A6FFEF5E27DE0
[Covid22Server.exe]
0C6DFAA12A98FB17058B79D283E96A3E34549D0AD2BE58F505AC8ABDE858D8A6