2017年1月13日

株式会社Doctor Web Pacific

ワームウイルスは自己複製能力を持つ一方で実行ファイルを感染させることはできない悪意のあるプログラムです。この度、RARアーカイブを感染させ、VNCリモートアクセスシステムを使用して自身を拡散するそのようなトロイの木馬がDoctor Webのスペシャリストによって発見されました。

BackDoor.Ragebot.45 と名付けられたこのワームは該当するチャットチャンネルに接続することで、IRC（インターネット・リレー・チャット）プロトコルを経由してコマンドを受け取ります。

Windowsを搭載したコンピューターを感染させると、 BackDoor.Ragebot.45 はFTPサーバーを起動させ、それを使用して自身のコピーをコンピューター上にダウンロードします。続けて、アクセス可能なサブネットをスキャンし、仮想ネットワークコンピューティング（VNC）デスクトップとの接続を確立するために5900番ポートの開かれたノードを探します。マシンが検出されると、 BackDoor.Ragebot.45 はブルートフォースアタックを用いて不正アクセスを試みます。

アクセスに成功すると、ワームはVNC接続を確立してキーストロークのシグナルを送信します。それらを使用してCMDコマンドインタプリタを起動させ、FTPプロトコル経由で自身のコピーを起動させるためのコードを実行します。こうしてワームは自身を複製します。

BackDoor.Ragebot.45 の持つもう1つの機能に、リムーバブルメディア上のRARアーカイブを検索して感染させるというものがあります。アーカイブを検出すると、 BackDoor.Ragebot.45 はそこにコピーを保存します（setup.exe、 installer.exe、 self-installer.exe、またはself-extractor.exeという名前で）。感染させるためには、アーカイブから抽出されたファイルをユーザーが実行する必要があります。

また、トロイの木馬はP2P接続を確立するために設計されたプログラムのフォルダと一緒に、自身をICQクライアントフォルダにコピーします。該当するコマンドを受け取ると、 BackDoor.Ragebot.45 はシステム内に別のトロイの木馬が存在しないかどうかを確認し、見つかった場合はその実行ファイルを削除します。このトロイの木馬は、無視するファイル（主にWindowsシステムファイル）の名前を含んだ特別なホワイトリストを備えており、このことが、感染したシステム上での動作を可能にしています。

BackDoor.Ragebot.45 の古いバージョンのサンプルが少し前に公開されたことから、今後このワームが急激に自身を拡散していくことが懸念されます。Dr.Webは BackDoor.Ragebot.45 を検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。