2016年6月27日

株式会社Doctor Web Pacific

最新のトロイの木馬のなかには、幅広い機能を備えた複雑なマルチコンポーネントマルウェアが存在します。本記事では、Trojan.MulDrop6.44482と名付けられたドロッパー型トロイの木馬について紹介します。そのサンプルはYandex社より提供されました。このマルウェアは、ロシア企業の経理部門を標的とする危険なスパイウェアを含む、他の悪意のあるプログラムによって拡散されるよう設計されています。

Trojan.MulDrop6.44482はインストーラとして拡散され、起動時にDr.Web、Avast、ESET、カスペルスキーなどのアンチウイルスがシステム上に存在しないかどうかを確認します。これらのアンチウイルスが見つかった場合、またはコンピューターのOSがロシア語環境のWindowsではなかった場合、ドロッパーは動作を停止します。それ以外の場合は7zパッカーおよびパスワード保護されたアーカイブがディスク上に保存されます。続けてドロッパーはアーカイブから1つずつファイルを抽出しますが、それらの中には異なる目的を持った複数のプログラムとダイナミックライブラリが含まれています。アンパックされるプログラムの1つはDr.WebによってTrojan.Inject2.24412として検出されるトロイの木馬であり、感染したコンピューター上で起動される悪意のあるライブラリのプロセス内に埋め込まれています。ドロッパーによってアンパックされるもう1つのプログラムTrojan.PWS.Spy.19338は、会計プログラムを含む様々なプログラムのウィンドウ内にテキストを送信して表示させるスパイウェア型トロイの木馬です。

Trojan.PWS.Spy.19338は復号化された形でディスク上に保存されることなく、コンピューターのメモリから直接起動されます。ディスクには暗号化されたコピーが保存されます。このトロイの木馬の主な目的はキーストロークを記録し、システムに関する情報を収集することです。また、キーロガーモジュールはクリップボードの履歴からデータを犯罪者へ送信することができます。Trojan.PWS.Spy.19338は、プログラムが中間ファイルとしてディスクに保存されているかどうかにかかわらず、それらを起動させることができます。トロイの木馬のすべてのモジュールが独自の機能を実行します。

Trojan.PWS.Spy.19338からサーバーへ送信される全ての情報はまず初めにRC4アルゴリズムを、次にXORを用いて暗号化されます。このトロイの木馬は記録したキーストロークを特別なファイルとしてディスク上に保存し、その内容を毎分サーバーへ送信します。また、キーストロークが記録されたウィンドウの名前も送信することができます。そのほか、Trojan.PWS.Spy.19338は以下のアプリケーション内でのユーザーアクティビティを監視します：

• 1Cバージョン8
• 1Cバージョン7および7.7
• SBIS++
• Skype
• Microsoft Word
• Microsoft Excel
• Microsoft Outlook
• Microsoft Outlook ExpressおよびWindowsメール
• Mozilla Thunderbird

さらに、Trojan.PWS.Spy.19338はスマートカードを使用するためにコンピューターに接続されたデバイスに関する情報を収集することもできます。このトロイの木馬の個々のコンポーネントがコンピューターのOSに関する情報をC&Cサーバーへ送信します。

Dr.Web Anti-virusは上記すべてのマルウェアプログラムを検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。分析のためにトロイの木馬の検体をご提供いただきましたYandex社に対し感謝の意を表します。

More about Trojan.MulDrop6.44482

More about Trojan.PWS.Spy.19338