2017年5月4日

株式会社Doctor Web Pacific

Doctor Webでは、「無料」のライセンスキーをダウンロードするユーザーを狙った、新たな悪意のあるプログラムについて注意喚起を行っています。この悪意のあるソフトウェアの拡散には従来のものとは異なる方法が用いられています。

少し前に、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループ内に、Dr.Web Anti-virusの無料ライセンスキーのダウンロードを提供する匿名ユーザーからのメッセージが出現しました。多くの場合、このようなメッセージにはRGhostファイルホスティングへのリンクが含まれています。リンクをたどってしまった被害者は、26 KBのRARアーカイブをダウンロードするかどうかを尋ねられます。Doctor Webグループのモデレーターは、これらのメッセージを可能な限り速やかに削除するよう努めていますが、投稿された直後に削除することは時として困難な場合があります。

アーカイブにはシンプルテキストドキュメントのアイコンを持った小さな実行ファイルが含まれています。この悪意のあるプログラムは同じバックドアですが、シグネチャ検出を回避するために、オンライン上で公表される度に新たにパックされているということが、解析された全てのサンプルから明らかになっています。その結果、 Trojan.MulDrop7.26387 と名付けられたこのトロイの木馬は、Dr.Web Anti-virusによって直ちに検出されることがありません。新しいサンプルは、ウイルスデータベースが新たに更新された後でのみ検出することが可能になります。 Trojan.MulDrop7.26387 はアンチウイルスのライセンスキーを装って拡散されていることから、サイバー犯罪者は、アンチウイルスソフトウェアを使用していないか、または無償の保護プログラムを使用している不注意なユーザーを陥れようと企んでいたものと考えられます。

Trojan.MulDrop7.26387 は非常に興味深い昔ながらの機能を備えた多目的バックドアで、広く知られているRemote Administration Tool (RAT) Njrat 0.7 Golden By Hassan Amiriをベースに作成されています。このツールはDr.WebによってBackDoor.NJRat.1013として検出されます。

起動後、 Trojan.MulDrop7.26387 はC&Cサーバーに接続し、感染したコンピューターに関する情報(ハードドライブのシリアル番号、インストールされているOSのビット版、コンピューター名、メーカー名、インストールされている場合はアンチウイルスのバージョン、Webカメラが使用可能かどうか)を送信します。このトロイの木馬は以下のコマンドを実行することができます：

• Windowsデスクトップ壁紙を置き換える
• コンピューターの電源を切る、または再起動させる
• 規定されたテキストでのシステムメッセージをスクリーン上に出力する
• マウスキーの機能を入れ替える
• 音声シンセサイザーやスピーカーを使用して特定の言葉を再生する
• Windowsタスクバーを隠し、その後復元する
• 光学ドライブを開く、または閉じる
• ディスプレイをオンオフする
• 指定されたリンクをブラウザで開く
• システムレジストリの指定された値を読み込む、インストールする、または削除する
• スクリーンショットを作成し、C&Cサーバーに送信する
• 指定された実行ファイルをダウンロード・起動する
• トロイの木馬の実行ファイルをリフレッシュ、または削除する

Trojan.MulDrop7.26387 の最も危険な機能の1つは、キー入力を記録する、埋め込まれたキーロガーです。このデータはコマンドに応じてサイバー犯罪者のサーバー上にダウンロードされます。また、このトロイの木馬は恐ろしい画像の含まれたSWF動画を予期せぬタイミングで感染したコンピューター上に表示させることができます。

ユーザーを怯えさせたり混乱させたりすることを主な目的としたこのような悪意のあるプログラムは昨今では非常に珍しいものとなっています。多くのトロイの木馬は収益を得ることを目的としたものであり、ただ単に「楽しむ」ためにユーザーを怖がらせるようなウイルスを拡散させるというのは、まるで中学生のいたずらのようです。

「ただほど高いものはない」という諺が示すとおり、商用ソフトウェアのライセンスキーを無料で提供するあらゆるダウンロードリンクは結局のところ詐欺であると言えます。このような罠に陥らないよう十分に警戒するようにしてください。

Trojan.MulDrop7.26387の詳細