2013年5月27日

株式会社Doctor Web Pacific

Doctor Webは、Rmnetボットネットワークの構築に使用されるマルウェア内で発見された、新たな悪意のあるモジュールについてユーザーの皆様に警告します。そのうちの1つは、感染させたコンピューター上にインストールされたアンチウイルスソフトウェアを無効にする機能を持っています。また、Doctor Webのアナリストは、それらコンポーネントを含んだボットによって形成されるRmnetサブネットの1つに対するコントロールを掌握することに成功しました。

ボットネットの構築を可能にするウイルスWin32.Rmnet.12及びWin32.Rmnet.16の大規模な拡散については以前にも報告しましたが、Win32.Rmnetは自身を複製することの出来る複合マルチコンポーネントファイルインフェクターです。このウイルスは複数のモジュールから成り、その主な機能はロードされたwebページ内に外部コンテンツを埋め込み、犯罪者の指定したサイトへブラウザをリダレクトすること、またユーザーがwebフォームに入力した情報をリモートサーバーに送信することです。さらに、Win32.Rmnet.12はGhisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのポピュラーなFTPクライアントによって保存されたパスワードを盗むことも出来ます。

Doctor WebはDNSシンクホールと呼ばれる手法を用いて、さらに別のWin32.Rmnetサブネットの乗っ取りに成功しました。その結果、Trojan.Rmnet.19と名付けられた2つの新たなマルウェアが、サブネットに接続されたノード間で拡散されていることが判明しました。1つ目のマルウェアは感染したシステム上で仮想マシン（VM）が動作しているかどうかを検知する機能を持っていますが、注意が必要なのは2つ目のマルウェアです。このモジュールはユーザーによる入力を模倣して（該当するアイコンをクリックするなど）Microsoft Security Essential、Norton Antivirus、Eset NOD32、Avast、Bitdefender、AVGを無効にします。

Dr.WebコンポーネントのアップロードにはCAPTCHAコードの入力が必要になっており、Trojan.Rmnet.19にもその機能は備わっていないため、Dr.Webアンチウイルスソフトウェアを使用しているコンピューターに危害が及ぶことはありません。

ウイルスによって、コントロールサーバーから感染したコンピューター上に合計7個の悪意のあるモジュールがダウンロードされます。

• アンチウイルスソフトウェアを無効にする新しいモジュール
• クッキーを盗むモジュール
• ローカルFTPサーバー
• Webインジェクションモジュール
• FTPパスワードを盗むモジュール
• 仮想マシンを検出する新しいモジュール
• 感染したシステムへのリモートアクセスを可能にするモジュール

また、Rmnetファイルインフェクターには以下の基本的なコンポーネントも備わっています。

• モジュールローダー
• バックドア
• アンチウイルスソフトウェアを削除するモジュール

2013年5月22日現在、Doctor Webアンチウイルスラボによってコントロールされているサーバーには1万8,000台を超えるボットが接続されています。収集された統計情報から、攻撃の対象となったのは主にイギリス及びアイルランド（感染件数1万5,253、全体の84.5%）、次いでフランス（感染件数1,434、全体の7.9%）であることが明らかになりました。現在もDoctor Webアナリストによって注意深く状況の監視が続けられています。