2015年9月16日

株式会社Doctor Web Pacific

クレジットカードによる決済処理を可能にするPOS端末は多くの企業で使用されていることから、長年にわたりウイルス開発者の主要な標的となっています。今回、POS端末を感染させる新たなトロイの木馬がDoctor Webセキュリティリサーチャーによって発見されました。このトロイの木馬はDoctor Webウイルスアナリストによく知られた悪意のあるプログラムの亜種であることが明らかになりました。

POS端末を感染させるよう設計され、Trojan.MWZLessonと名付けられたこのトロイの木馬は、起動されるとアプリケーションの自動起動を司るレジストリブランチを改変します。この悪意のあるプログラムには感染させたデバイスのRAM内でクレジットカード情報を探すモジュールが含まれています。このコードはPOS端末を感染させる別のトロイの木馬Trojan.PWS.Dexterのコードを流用したものです。Trojan.MWZLessonは取得したクレジットカード情報やその他の情報をC&Cサーバーへ送信します。

Trojan.MWZLessonは感染させたシステムのブラウザ（Firefox、Chrome、Internet Explorer）から送信されたGETおよびPOSTリクエストを盗み取り、それらをサイバー犯罪者によって管理されるコントロールサーバーへと送信します。さらに、このトロイの木馬は以下のコマンドを実行することができます：

• CMD—コマンドをコマンドインタプリタに送信（cmd.exe）
• LOADER—ファイルをダウンロード、実行（dll— regsrvツールを使用、vbs— wscript ツールを使用、exe— 直接実行）
• UPDATE—自身をアップデート
• rate—C&Cサーバーとの通信セッション間隔を設定
• FIND—マスクを使用してドキュメントを検索
• DDOS—HTTPフラッド攻撃を実行

Trojan.MWZLessonはHTTPプロトコル経由でサーバーとの通信を行います。その際、トロイの木馬によって送信されるパッケージはいずれも暗号化されません。Trojan.MWZLessonは特別なCookieパラメータを使用しますが、このパラメータがパッケージに含まれていなかった場合、サーバーはトロイの木馬からのリクエストを無視します。

BackDoor.Neutrino.50はCVE-2012-0158脆弱性を悪用するマルチコンポーネントなバックドアで、サイバー犯罪者によってハッキングされたwebサイトからダウンロードされていました。BackDoor.Neutrino.50は起動されるとシステム内で仮想マシンの存在を確認し、仮想マシンが検出された場合は「An unknown error occurred. Error - (0x[ランダムな数字])」というエラーメッセージを表示させた後、自身を削除します。

POS端末上で動作可能なだけでなく、このトロイの木馬はMicrosoftメールクライアントによって保存された情報や、ポピュラーなFTP クライアントを使用してFTPプロトコル経由でリソースにアクセスするためのアカウント情報を盗むことができます。また、Trojan.MWZLessonおよびBackDoor.Neutrino.50は、様々な種類のDDoS攻撃を実行、システム内で検出された悪意のあるプログラムを削除、LAN上にある端末を感染させようと試みるなど、その他のコマンドを実行する機能も備えています。

Dr.Webウイルスデータベースには、これらトロイの木馬のシグネチャが既に追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。