2012年2月7日掲載

株式会社Doctor Web Pacific

感染したコンピューターを利用し、Facebookやメッセージクライアント経由でスパムを拡散するTrojan.OneXについてDoctor Webはユーザーの皆様に警告します。現在、似たような機能を持つこのトロイの木馬の亜種が2つ発見されています。その拡散手法から、被害者の数は極めて多くなる可能性があると言えます。

Trojan.OneXは32ビット版のWindows上でのみ動作し、64ビット版上ではリモートサーバーからテキストファイルをダウンロードした後に動作を終了します。感染したシステム上で起動されると、Trojan.OneX.1は自身のコピーが既にシステム上に存在しないかどうかを確認し、特別なテキストファイルをダウンロードする為のリモートサーバーアドレスを解読します。このファイルには “hahaha! http://goo.gl [...]. jpeg“のような英語のフレーズが含まれており、ユーザーがFacebookに投稿しようとしたメッセージをトロイの木馬がそれらのフレーズと置き換えます。ただし、メッセージが置き換えられるのはチャットモードの場合のみで、その場合、ユーザーが感染したシステムから送信した本当のメッセージはブロックされます。トロイの木馬は1時間ごとに新しい設定ファイルをリモートサーバーからダウンロードします。

Trojan.OneX.1はfirefox、iexplore、IEXPLOREという名前を持つ実行中のプロセスをシステム内で検索し、見つかった場合はそのプロセス内に自身のコードを挿入します。

このトロイの木馬の最初の亜種が発見されてまもなく、Doctor WebのウイルスアナリストはTrojan.OneX.2と名付けられたマルウェアのサンプルを入手しました。最初のバージョンと異なり、この亜種はブラウザではなくskype、pidgin、aim、msnmsgr icq.exe、yahoom、ymsg_tray.exe、googletalk、xfire.exeなどのメッセンジャーソフトを利用します。メッセージ送信時には、感染したシステムに接続されているマウスやキーボードがブロックされます。また、Trojan.OneX.2はUnicode形式の実行ファイルをパースすることが出来るという点もTrojan.OneX.1とは異なっています。

トロイの木馬によって送信されたメッセージには悪意のあるフィッシングサイトへのリンクが含まれていることがあり、そのようなサイトの中にはRapidShareを模倣したものがあります。ユーザーは、実際はPhoto14.JPG.scr ― BackDoor.IRC.Bot.1446の組み込まれた実行ファイル（Trojan.Packed.22289）―を含んだZIP アーカイブであるJPEG画像をダウンロードするよう促されます。この悪意のあるプログラムは、攻撃者がコンピューターにアクセスして個人データを盗むことを可能にするだけでなく、感染したコンピューター上で他のアプリケーションのダウンロードやインストールなどの様々なコマンドを実行することも可能にします。また、Trojans BackDoor.IRC.BotがTrojan.OneXの拡散に使用され、そのTrojan.OneXによってTrojans BackDoor.IRC.Botがさらに拡散されるというケースがDoctor Web によって発見されているという事実は注目に値するでしょう。

これら悪意のあるプログラムのシグネチャは既にDr.Webウイルスデータベースに加えられており、Dr.Webアンチウイルスソフトウェアをお使いのユーザーのシステムは確実に保護されています。