2011年07月01日掲載

株式会社Doctor Web Pacific

検索エンジンは、より速い検索結果報告とその正確さをもたらすリクエスト処理のアルゴリズムを極めることによって、ユーザーの満足度を高めるために飛躍的な発展を遂げてきました。そしてウイルス製作者もまた、新しい技術を重要視しているようです。Doctor Webウイルスアナリストによって発見されたTrojan.VkBase.47の新しい亜種は、インターネット上でサーバーから受け取ったリストに応じて被害者のコンピューター上に様々なマルウェアをダウンロードさせることが出来ます。

現在までのところ、このウイルスはTrojan.VkBaseファミリーの47番目の亜種で、7ヶ月以上もの間ユーザーを悩ませ続けています。このトロイの木馬によって犯罪者は、様々な悪意のあるプログラムをユーザーのコンピューター上に密かにダウンロードすることが出来ます。ダウンロードリストを入手する為に、インターネット上のいくつかのサーバーに検索リクエストが送信されます。

Trojan.VkBase.47は感染したシステム内でWindowsインストールフォルダに自身をコピーし、レジストリセクションHKLM\SOFTWARE\services32.exeを作成します。そして、システムの感染状況を監視するためにくつかの登録を行います。それと同時にトロイの木馬が、現在動作中の全ての処理に関する情報を含んだ特別なログファイルを作成します。標準的なアンチウイルスモジュールの識別子がその中にあれば、Trojan.VkBase.47が存在するという事です。それ以外の場合、Windowsのセキュリティに関するレジストリ内のエントリーにトロイの木馬がインデックスを付け、Windowsファイアーウォールを停止してアタッチメントマネージャーのセキュリティパラメータを変更します。これにより、インターネットからダウンロードされた、システム内のexeファイルを実行する際に表示される警告が無効になります。

続けてTrojan.VkBase.47は、cmd.exeのスクリプトファイルをディスク上に保存し、それを起動します。次にこのスクリプトがトロイの木馬のexeファイルをsvchost.exeとしてシステムディレクトリのサブフォルダ\Update.1にコピーし、レジストリのオートランブランチにファイルエントリーを追加し、ユーザーアカウント制御設定を無効にします。さらに、Windowsファイアーウォールの除外対象に自身を加えます。

OSと一緒に起動されると、悪意のあるプログラムがその主要なタスクを実行します。数々のリモートノードに接続し、新しい悪意のあるアプリケーションを見つける為にトロイの木馬が送信する問い合せ先IPアドレスのリストを受け取り、そしてそれらのアプリケーションを感染したコンピューター上にダウンロード、インストールするのです。

Trojan.VkBase.47の最も危険な特徴は、幅広い悪意のあるプログラムを検索し、感染したコンピューター上にそれらをインストールすることが出来るという点です。現在Windows向けDr.Web製品をご利用中の皆様は、Trojan.VkBase.1、及び同等の機能を備える亜種等から守られています。