2012年11月2日掲載

株式会社Doctor Web Pacific

Doctor Webは、非常に興味深い自己復元機能を持つ新たなトロイの木馬Trojan.GBPBoot.1の拡散について報告します。

このトロイの木馬はリモートサーバーから様々な実行ファイルをダウンロードし、感染したコンピューター上で実行することができ、また、被害者のコンピューター上に保存されていないプログラムを起動させることが可能です。Trojan.GBPBoot.1の破壊的な動作は以上に留まり、実行される悪意のある機能という観点から見ると、このトロイの木馬はやや初歩的なプログラムであると言えます。しかし一方でTrojan.GBPBoot.1は、削除しようという試みに対する本格的な対抗手段を持つ初のトロイの木馬であるという興味深い特徴を持っています。

Trojan.GBPBoot.1は複数のモジュールで構成されています。1つ目のモジュールはハードディスク上のマスターブートレコード（MBR）を改変し、その後、該当するセクション（ファイルシステムの外）の最後にウイルスインストーラーモジュール、トロイの木馬の自動復元モジュール、explorer.exeファイルを含んだアーカイブ、及び設定データを書き込みます。次に、システムフォルダ内にウイルスインストーラーを置き、起動させた後に自身のファイルを削除します。

起動されたウイルスインストーラーは、設定ファイル、及びシステムサービスとしてシステム内に登録されるダイナミックライブラリをシステムフォルダ内に保存します。続いてこのサービスを起動させた後、自身を削除します。

システムサービスは、システムフォルダ内に保存された設定ファイルをダウンロードし（又は以前ドロッパー上に保存された設定データを読み込み）、リモートコントロールサーバーとの接続を確立して感染したシステムに関する情報を送ります。その後、サーバーから受け取った実行ファイルを感染したコンピューター上にダウンロードしようとします。ダウンロードに失敗した場合は、次回のシステム起動時に再度接続が確立されます。

なんらかの理由により悪意のあるサービスのファイルが削除されると（例えば、アンチウイルスプログラムによるディスクスキャンの結果として）、自己復元機能がアクティブになります。コンピューターの起動時に、トロイの木馬によって改変されたMBRを使用してドライブ上に悪意のあるシステムサービスが存在するかどうかを確認するプロシージャが開始され、この処理は標準ファイルシステムNTFS及びFAT32に対応しています。システムサービスが存在しなかった場合、Trojan.GBPBoot.1は標準explorer.exeファイルを「自己復元ツール」を含んだ自身のもので上書きし、Windowsの起動と同時にそれを実行させます。管理権を取得すると、explorer.exeの悪意のあるコピーは感染の過程を繰り返し実行し、その後、オリジナルのexplorer.exeを復元して起動させます。このようにTrojan.GBPBoot.1は保護されたシステム内で自身を復元することが可能であるため、様々なアンチウイルスプログラムによる簡単なスキャンでは期待された結果を得ることが難しくなっています。

Dr.Webアンチウイルスソフトウェアは、改変されたMBRの復元を含む、この脅威に対する検出及び修復の機能を備えています。そのため、Trojan.GBPBoot.1がDoctor Web製品のユーザーに深刻な危害を与えることはありません。