2013年11月29日

株式会社Doctor Web Pacific

Doctor Webは、BackDoor.Caphawファミリーに属するトロイの木馬がSkypeを利用して大拡散されていることについてユーザーの皆様に警告します。その拡散は2013年11月の前半にピークに達しました。BackDoor.Caphaw はリモートバンキングソフトウェアによって保存されたアカウント情報や、感染したシステム上に保存されたその他の個人情報を盗みます。

BackDoor.Caphawトロイの木馬によるコンピューターの感染は、昨年の間も1年を通して確認されています。このトロイの木馬は主にBlackHole exploit packなどのエクスプロイトを利用して拡散されており、リムーバブルメディアやネットワークドライブ上に自身をコピーする機能を持っています。2013年10月の後半にはSkypeを利用したBackDoor.Caphawの拡散が目立つようになり、この傾向は11月の5～14日にピークに達しました。犯罪者は、既に感染しているシステムのユーザーアカウントを使用してメッセージを送信しています。メッセージにはinvoice_XXXXX.pdf.exe.zip（XXXXXは任意の数字です）という名前のついたアーカイブへのリンクが含まれ、このアーカイブに含まれている実行ファイルがBackDoor.Caphawトロイの木馬です。

感染したシステム内で起動されたトロイの木馬は、ランダムな名前を付けたファイルとして自身のコピーをアプリケーションフォルダの1つに置き、アプリケーションの自動実行を司るシステムレジストリを改変します。また、解析から逃れるために、仮想マシン上で起動されているかどうかを判別する機能を備えています。

インストールされると、BackDoor.Caphawトロイの木馬は実行中のプロセス内に自身のコードを挿入し、犯罪者の管理するサーバーに接続します。このトロイの木馬はユーザーのアクティビティをモニターし、リモートバンキングシステムに接続しているかどうかを確認します。接続していた場合、ユーザーの開いたwebページ内に任意のコンテンツを埋め込み、webフォーム内に入力されたデータを盗みます。

このバックドアは感染したコンピューター上でストリーミング動画を録画し、それらをRARアーカイブとして犯罪者のサーバーへ送信します。また、それぞれ異なる機能を実行する追加のモジュールをリモートサーバーからダウンロードし、実行することができます。そのようなモジュールには、FTPクライアントによって保存されたパスワードを検索して犯罪者に送信するモジュールやVNCサーバーを設置するモジュール、さらに、マスターブートレコードを感染させるためのブートキットモジュールや、Skype経由で悪意のあるリンクを送信するためのモジュールがあります。

Dr.Webアンチウイルスは、侵入を試みるBackDoor.Caphawを検出し駆除しますが、ユーザーの皆様には警戒を怠らず、Skypeで受け取ったメッセージに含まれるリンクをクリックしないよう推奨します。例えメッセージが信頼できる人物からのものであっても、送信元のコンピューターが既にBackDoor.Caphawに感染してしまっている可能性もあるため、注意が必要です。お使いのシステムが感染してしまった場合、Windowsをセーフモードで起動し、無償の修復ユーティリティDr.Web CureIt!を使用してシステムのフルスキャンを実行するか、Dr.Web LiveCDを使用することを推奨します。