2012年10月5日掲載

株式会社Doctor Web Pacific

Doctor Webは、感染したコンピューターによるボットネットの構成に関わるBackDoor.BlackEnergyの新たな亜種を発見しました。このトロイの木馬は、現在議論を醸している映画のタイトルである“Innocence of Muslims（イノセンス・オブ・ムスリムズ）”を件名に含むメールと共に拡散され、今回標的とされたのはウクライナの政府機関でした。BackDoor.BlackEnergyに感染したコンピューターは、犯罪者によって大量のスパム配信やDDoS攻撃の実行、及びその他の違法行為に利用される可能性があります。

マルチコンポーネントであるBackDoor.BlackEnergyは、最近まで、最も大規模なスパムボットネットの1つを構成するために使用されており、そのピーク時には1日のスパムメッセージ数は180億にものぼりました。いくつかの企業およびセキュリティエキスパートの尽力により、2012年7月、感染したコンピューターの多くをコントロールしていたボットネットの管理サーバーが遮断され、その結果世界中のスパムトラフィックに減少が見られました。しかしながら、小規模なボットネット管理サーバーがアクティブなままであったことから、BackDoor.BlackEnergyの完全な活動停止には至りませんでした。このトロイの木馬の新たなバージョンの登場によって、これらゾンビコンピューターネットワークの作成者達がボットネットのかつての威光を取り戻そうとしていることが分かります。

BackDoor.BlackEnergy.18としてDr.Webウイルスデータベースに加えられたこの新たな亜種は、Microsoft Wordドキュメントが添付された電子メールによって拡散されました。興味深いのは、これらのメールが外務省や在アメリカ合衆国ウクライナ大使館などのウクライナ政府機関に対して送信されているという点です。

上の画像は、世界中で抗議デモを引き起こし、既に死者をも出している問題の映画“Innocence of Muslims”がホットなトピックとして利用されていることを示しています。

Dr.Web アンチウイルスソフトによってExploit.CVE2012-0158.14として検出された、メールに添付されたドキュメントには、ActiveXコンポーネント（このコンポーネントはWord及びその他Microsoft Windows向け製品によって使用されます）の1つにおける脆弱性を悪用するコードが含まれています。ドキュメントを開こうとすると、一時ディレクトリ内に« WinWord.exe»、«Невинность мусульман.doc»という名前で2つのファイルが保存されます。1つ目のファイルは、システムカタログ内にそのドライバをインストールするためのBackDoor.BlackEnergy.18トロイの木馬ドロッパーです。

起動されると、ドロッパーは保存された2つ目のファイルを開きます。このファイルは通常のMicrosoft Wordドキュメントであり、被害者の希望する内容を含むことで、ユーザーが疑惑を抱くことのないようになっています。

Бэкдоры семейства BackDoor.BlackEnergy

BackDoor.BlackEnergyファミリーは、個別にダウンロード可能なプラグインによる悪意のある活動を実行する、モジュラー型トロイの木馬です。この点に関して、新しい亜種は従来のものと変わりません。このトロイの木馬は、その動作に、194.28.172.58にある管理サーバーから受け取ったxml形式の特別な設定ファイルを使用します。このファイルに従い、BackDoor.BlackEnergy.18 は以下のモジュールを実行することが可能です。

Windows向けのモジュールに加え、Intel プロセッサ32-bitのLinux上で動作するELF実行ファイルであるプラグインも発見されています。

Linux上でコンパイルされたプラグインでは、設定ファイル内で最初のバージョンが指定されており、また管理サーバーに関する情報が含まれていません。Windowsを標的としたバージョンのロードリスト内にそれらの情報が含まれているのは、設計者のミスによるものであると推測されます。Doctor Webのスペシャリストは、このトロイの木馬のLinux向けバージョンは特別なドロッパーによって拡散されていると考えています。

このトロイの木馬のシグネチャは既にDr.Webのウイルスデータベースに追加されているため、Doctor Web製品をお使いのユーザーにとっては重大な脅威ではありません。