2017年2月6日

株式会社Doctor Web Pacific

Linux.Mirai は現在最も多く拡散されているLinux向けトロイの木馬です。このトロイの木馬の最初のバージョンは2016年5月に Linux.DDoS.87 という名前でDr.Webウイルスデータベースに追加されました。その後、そのソースコードが一般に公開されたことからウイルス開発者たちの間で人気が高まっています。そして2017年2月、 Linux.Mirai の拡散に使用されていたWindows向けトロイの木馬がDoctor Webのセキュリティリサーチャーによって発見されました。

Trojan.Mirai.1 と名付けられたこの新たなトロイの木馬は、起動されるとC&Cサーバーに接続して設定ファイルをダウンロードし、IPアドレスのリストを抽出します。次に、設定ファイル内にあるアドレスを持ったネットワークノードを探すためにスキャナーを起動させ、同じく設定ファイル内で指定されたログインとパスワードの組み合わせを使用してログインを試みます。 Trojan.Mirai.1 のスキャナーは複数のTCPポートを同時にスキャンすることが可能です。

いずれかのプロトコルを経由してノードへの接続を果たすと、 Trojan.Mirai.1 は設定ファイル内で指定された一連のコマンドを実行します。ただし、RDPプロトコル経由で接続した場合は例外となり、いずれのコマンドも実行されません。また、Telnetプロトコル経由でLinuxデバイスに接続した場合は、感染したデバイス上にバイナリファイルをダウンロードし、続けてこのファイルが Linux.Mirai をダウンロードし、起動させます。

そのほか、 Trojan.Mirai.1 はインタープロセス通信（IPC）テクノロジーを使用したコマンドをリモートコンピューター上で実行することができます。また、新しいプロセスを実行し、様々なファイル（コマンドのセットを含んだWindowsパッケージファイルなど）を作成する機能も備えています。攻撃の対象となったリモートコンピューター上でリレーショナルデータベース管理システムであるMicrosoft SQL Serverが動作していた場合、 Trojan.Mirai.1 はsysadmin権限を付与したユーザー「Mssqla」を作成し、パスワードを「Bus3456#qwein」とします。SQL Serverのイベントサービスを利用し、このユーザー名でトロイの木馬は様々な悪意のあるタスクを実行します。それらタスクの例として、管理者権限で実行ファイルを起動させる、ファイルを削除する、自動起動用のシステムフォルダにアイコンを移す（またはWindowsレジストリ内に該当するログを作成する）などが挙げられます。リモートMySQLサーバーに接続すると、 Trojan.Mirai.1 は同様の目的で、ログインを「phpminds」、パスワードを「phpgod」としてユーザー「MySQL」を作成します。

Trojan.Mirai.1 は既にDr.Webウイルスデータベースに追加されています。したがって、Dr.Webユーザーに危害が及ぶことはありません。