2012年2月7日掲載
株式会社Doctor Web Pacific
Trojan.OneXは32ビット版のWindows上でのみ動作し、64ビット版上ではリモートサーバーからテキストファイルをダウンロードした後に動作を終了します。感染したシステム上で起動されると、Trojan.OneX.1は自身のコピーが既にシステム上に存在しないかどうかを確認し、特別なテキストファイルをダウンロードする為のリモートサーバーアドレスを解読します。このファイルには “hahaha! http://goo.gl [...]. jpeg“のような英語のフレーズが含まれており、ユーザーがFacebookに投稿しようとしたメッセージをトロイの木馬がそれらのフレーズと置き換えます。ただし、メッセージが置き換えられるのはチャットモードの場合のみで、その場合、ユーザーが感染したシステムから送信した本当のメッセージはブロックされます。トロイの木馬は1時間ごとに新しい設定ファイルをリモートサーバーからダウンロードします。
Trojan.OneX.1はfirefox、iexplore、IEXPLOREという名前を持つ実行中のプロセスをシステム内で検索し、見つかった場合はそのプロセス内に自身のコードを挿入します。
このトロイの木馬の最初の亜種が発見されてまもなく、Doctor WebのウイルスアナリストはTrojan.OneX.2と名付けられたマルウェアのサンプルを入手しました。最初のバージョンと異なり、この亜種はブラウザではなくskype、pidgin、aim、msnmsgr icq.exe、yahoom、ymsg_tray.exe、googletalk、xfire.exeなどのメッセンジャーソフトを利用します。メッセージ送信時には、感染したシステムに接続されているマウスやキーボードがブロックされます。また、Trojan.OneX.2はUnicode形式の実行ファイルをパースすることが出来るという点もTrojan.OneX.1とは異なっています。
トロイの木馬によって送信されたメッセージには悪意のあるフィッシングサイトへのリンクが含まれていることがあり、そのようなサイトの中にはRapidShareを模倣したものがあります。ユーザーは、実際はPhoto14.JPG.scr ― BackDoor.IRC.Bot.1446の組み込まれた実行ファイル(Trojan.Packed.22289)―を含んだZIP アーカイブであるJPEG画像をダウンロードするよう促されます。この悪意のあるプログラムは、攻撃者がコンピューターにアクセスして個人データを盗むことを可能にするだけでなく、感染したコンピューター上で他のアプリケーションのダウンロードやインストールなどの様々なコマンドを実行することも可能にします。また、Trojans BackDoor.IRC.BotがTrojan.OneXの拡散に使用され、そのTrojan.OneXによってTrojans BackDoor.IRC.Botがさらに拡散されるというケースがDoctor Web によって発見されているという事実は注目に値するでしょう。
これら悪意のあるプログラムのシグネチャは既にDr.Webウイルスデータベースに加えられており、Dr.Webアンチウイルスソフトウェアをお使いのユーザーのシステムは確実に保護されています。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments