2016年8月29日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、新たなトロイの木馬である Trojan.Mutabaha.1 の解析を行いました。このトロイの木馬はGoogle Chromeブラウザの偽のバージョンをインストールし、開かれたWebページ上の広告を置き換える機能を備えていました。

Trojan.Mutabaha.1 の最も注目すべき特徴はWindowsの保護機能であるユーザーアカウント制御（UAC）をすり抜けるというものです。このテクノロジーに関する情報は8月15日に初めてインターネットブログ上に投稿され、その3日後には、後に Trojan.Mutabaha.1 と名付けられるトロイの木馬の最初のサンプルがDoctor Webのラボに提供されました。当該テクノロジーは、昇格された権限を持つマルウェアを起動させるためにシステムレジストリブランチを使用します。 Trojan.Mutabaha.1 はプロジェクト名を含んだ特徴的なラインを持っています：

まず初めに、インストーラをディスクに保存して起動させるドロッパーと、ドロッパーを削除するためのBATファイルが同時に実行されます。次に、インストーラがC&Cサーバーに接続し、設定ファイルを受け取ります。この設定ファイルに、ブラウザをダウンロードするためのアドレスが指定されています。

このブラウザはGoogle Chromeの特殊なビルドで、Outfireという名前を持っています。インストール中に自身をWindowsシステムレジストリ内に登録し、複数のシステムサービスを起動させた後、自身のアップデートをダウンロード・インストールするためのタスクをWindows タスクマネージャー内に作成します。また、Outfireはショートカットを削除または作成したり、Chromeユーザーアカウントの情報を新しいブラウザ内にコピーしたりすることで、インストールされているGoogle Chromeを改変します。最後に、 Trojan.Mutabaha.1 はシステム内に他の偽ブラウザが存在しないかどうかを、2つの用語集に記載された値の組み合わせを使用して名前を生成することで検索します。合計で56のバリエーションがあります。偽のブラウザが検出された場合、トロイの木馬はその名前を自身の名前と比較し（誤って自身を削除しないように）、そのブラウザのプロセスを終了させます。その後、そのエントリをタスクマネージャーから削除し、Windowsシステムレジストリに該当する変更を加えます。

インストールが完了すると、偽のブラウザには設定から変更することのできないホームページが表示されます。また、ブラウザで開かれたWebページ上の広告を置き換えるよう設計され独自の検索エンジンを使用する拡張機能がデフォルトで設定されていますが、これはアプリケーションの設定内で変更することができます。

Dr.Webアンチウイルスは Trojan.Mutabaha.1 を検出・削除することができます。 したがって、Dr.Webユーザーに危害が及ぶことはありません。