2015年9月16日
株式会社Doctor Web Pacific
POS端末を感染させるよう設計され、Trojan.MWZLessonと名付けられたこのトロイの木馬は、起動されるとアプリケーションの自動起動を司るレジストリブランチを改変します。この悪意のあるプログラムには感染させたデバイスのRAM内でクレジットカード情報を探すモジュールが含まれています。このコードはPOS端末を感染させる別のトロイの木馬Trojan.PWS.Dexterのコードを流用したものです。Trojan.MWZLessonは取得したクレジットカード情報やその他の情報をC&Cサーバーへ送信します。
Trojan.MWZLessonは感染させたシステムのブラウザ(Firefox、Chrome、Internet Explorer)から送信されたGETおよびPOSTリクエストを盗み取り、それらをサイバー犯罪者によって管理されるコントロールサーバーへと送信します。さらに、このトロイの木馬は以下のコマンドを実行することができます:
- CMD—コマンドをコマンドインタプリタに送信(cmd.exe)
- LOADER—ファイルをダウンロード、実行(dll— regsrvツールを使用、vbs— wscript ツールを使用、exe— 直接実行)
- UPDATE—自身をアップデート
- rate—C&Cサーバーとの通信セッション間隔を設定
- FIND—マスクを使用してドキュメントを検索
- DDOS—HTTPフラッド攻撃を実行
Trojan.MWZLessonはHTTPプロトコル経由でサーバーとの通信を行います。その際、トロイの木馬によって送信されるパッケージはいずれも暗号化されません。Trojan.MWZLessonは特別なCookieパラメータを使用しますが、このパラメータがパッケージに含まれていなかった場合、サーバーはトロイの木馬からのリクエストを無視します。
Trojan.MWZLessonの構造について解析を行った結果、Doctor Webセキュリティリサーチャーは、このトロイの木馬は別の悪意のあるプログラムであるBackDoor.Neutrino.50のシンプルなバージョンであると結論付けました。BackDoor.Neutrino.50のコードの一部が新たな亜種であるTrojan.MWZLessonの作成に使用されていたためです。BackDoor.Neutrino.50はCVE-2012-0158脆弱性を悪用するマルチコンポーネントなバックドアで、サイバー犯罪者によってハッキングされたwebサイトからダウンロードされていました。BackDoor.Neutrino.50は起動されるとシステム内で仮想マシンの存在を確認し、仮想マシンが検出された場合は「An unknown error occurred. Error - (0x[ランダムな数字])」というエラーメッセージを表示させた後、自身を削除します。
POS端末上で動作可能なだけでなく、このトロイの木馬はMicrosoftメールクライアントによって保存された情報や、ポピュラーなFTP クライアントを使用してFTPプロトコル経由でリソースにアクセスするためのアカウント情報を盗むことができます。また、Trojan.MWZLessonおよびBackDoor.Neutrino.50は、様々な種類のDDoS攻撃を実行、システム内で検出された悪意のあるプログラムを削除、LAN上にある端末を感染させようと試みるなど、その他のコマンドを実行する機能も備えています。
Dr.Webウイルスデータベースには、これらトロイの木馬のシグネチャが既に追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments