2012年6月29日掲載

株式会社Doctor Web Pacific

Doctor Webは、国際物流サービスUPSからのメールを装いTrojan.Inject1.4969.を拡散する悪意のあるスパムについてユーザーの皆様に警告します。このマルウェアは情報を盗み、リモートサーバーから他のアプリケーションをダウンロードし、犯罪者から受け取ったコマンドを実行することが出来ます。

6月下旬、多くのユーザーがUPSからと思われるメールを受け取り、それらのメッセージには配送失敗に関する通知が含まれていました。メールに添付されたzipアーカイブにはMicrosoft Wordドキュメントのアイコンを持つ実行ファイルが含まれ、被害者はそのフォームに正しい配送先アドレスを入力するよう指示されます。よく知られたファイルタイプの拡張子を表示させないOSのオプションを有効にしているユーザーは、何の疑いもなく「ドキュメント」を開いてしまうことで悪意のあるプログラムを起動させてしまう可能性があります。

Trojan.Inject1.4969は、感染したシステム内で、自身をカレントユーザーのアプリケーションデータフォルダ内にコピーした後オリジナルファイルを削除し、また、アプリケーションの自動実行を司るレジストリブランチ内に自身を登録します。次に、explorer.exeを実行して自身のコードをプロセス内に挿入し、さらに、システム内で動作中の全てのプロセス内にもその挿入を試みます。悪意のあるコードがexplorer.exe、iexplore.exe、またはfirefox.exeプロセス内にコピーされると、そのコード内に保存されたアドレスを持つサーバーをコントロールするためにHTTP接続を確立します。リクエストの暗号化にはMS Windows CryptoAPIが使用されます。

Trojan.Inject1.4969は、カレントユーザーのプロファイルに関する情報を収集し、Mozilla FirefoxおよびInternet ExplorerのCookieを盗んで犯罪者に送信します。それによりユーザーアカウントが流出してしまう可能性があります。またこのトロイの木馬は、サーバーから受け取った、Windows shellへのリクエストのリダレクト、アプリケーションのダウンロード・実行などのコントロールコマンドを実行することが出来ます。さらに、感染したシステム内にある特定のディレクトリのコンテンツに関する情報やファイルを犯罪者に送信することも可能です。