工場から出荷されたばかりの製品は、マルウエアなど潜んでいない安全な状態であるはずだ。しかし、これまで確認された事例を振り返ると、出荷されたばかりでも必ずしも安全とは言えないことが分かる。つい最近もトレンドマイクロは、出荷前に既にマルウエアが混入していた製品を確認した。今回の事例は、パソコン用オーディオ製品などを主に製造するシンガポールのメーカーが委託製造したUSB型オーディオ機器へのマルウエア感染である。
「新品」は、もはや「安全」を意味しない
今回紹介する事例は、電子機器が出荷時に既にマルウエアに感染していた最新事例である。パソコン用オーディオ製品とその周辺機器を製造するシンガポールのメーカーが、2009年10月1日以降に日本向けに出荷したUSB型オーディオ機器のうち、約3380台がトロイの木馬型マルウエア(Boot.exe)およびワーム(Ravmon.exe)に感染している可能性があるという。これらのマルウエアは2007年に見付かったもので、トレンドマイクロのウイルス対策製品ではそれぞれ「TROJ_CORELINK.D」および「WORM_RJUMP.AI」として検出する。
「TROJ_CORELINK.D」は、実行されると「TROJ_AGENT.THK」として検出されるルートキットを作成する。このルートキットは、自身を隠ぺいし、削除されるのを避ける。また、このマルウエアは「PE_CORELINK.C-O」として検出されるDLLファイル “LINKINFO.DLL” を作成する。このDLLファイルは、特定のWebサイトにアクセスし、「TROJ_ALMANAHE.V」として検出されるマルウエアをダウンロードする。また、「PE_CORELINK.C-O」はレジストリ・キーを問い合わせ、感染コンピュータの既定ブラウザのパスを入手する。その後、特定のURLにアクセスし、「TSPY_LEGMIR.BNI」をダウンロードする。
