2012年4月27日掲載

株式会社Doctor Web Pacific

Doctor Webは、非常に興味深い動作アルゴリズムを持つマルウェアTrojan.Spambot.11349の拡散について報告します。このトロイの木馬はメールクライアント（Microsoft OutlookやThe Bat!など）のアカウントを盗み、Webブラウザの自動入力フォームに使用されたデータを犯罪者に送信してしまうことから、ユーザーにとって危険なものであると言えます。

この悪意のあるプログラムの拡散に使用されているのは、Backdoor.Andromedaという良く知られたバックドアです。Trojan.Spambot.11349はDelphで書かれたローダー、およびペイロードを格納するダイナミックライブラリという2つのコンポーネントで構成されています。ローダーの機能はこの手の悪意のあるソフトウェアに共通する一般的なもので、ファイアーウォールをすり抜けてシステムライブラリ内にマルウェアをインストールします。名前に「vcnost.e」を含まないプロセスからローダーが起動された場合、トロイの木馬は名前svcnostを含む全てのプロセスを削除し、ハードディスク上にあるフォルダの1つにsvcnost.exeという名前で自身を保存した上で、アプリケーションの自動実行に関わるレジストリブランチにリンクを登録します。その後Trojan.Spambot.11349は自身のコピーを起動させます。それが管理者権限で実行されていた場合、Windowsのファイアーウォールをすり抜けるようレジストリに変更を加え、アンチウイルスプログラムサイトへのユーザーのアクセスをブロックしてファイルホストを上書きします。最後にローダーは、ペイロードを格納するダイナミックライブラリをオペレーティングメモリに置き、以後の管理を託します。

管理権を得た悪意のあるライブラリは、ドライブ上に自身のコピーが存在しないかどうかを確認し、ボットのユニークなIDとなる9個のランダムな数字からなる数値をシステムレジストリに書き込みます。次にTrojan.Spambot.11349はSSLライブラリ、およびリクエストのストリングを圧縮する為のzlibライブラリをディスク上に保存します。ボットから送信されたリクエストのHOSTフィールドには外部のIPアドレスが含まれ、これがTrojan.Spambot.11349の特徴となっています。SSLライブラリおよびzlibライブラリとの動作のために別々のダイナミックリンクライブラリを使用するという点も、悪意のあるプログラムの構造には滅多に見られない珍しいものと言えるでしょう。

Trojan.Spambot.11349の際立った特徴の1つは、トロイの木馬サブネットのリソースに保存されたリストから特別なアルゴリズムによって選択されたランダムなIPアドレスに対して、連続的なクエリを送信するという動作にあります。次にトロイの木馬は、ライブラリのボディ内に暗号化された形で保存されているアドレスを持つ3つの管理サーバーのうちの1つに接続し、設定ファイルの取得を試みます。ファイルの入手に成功した場合は、Microsoft OutlookおよびThe Bat!メールクライアントから盗んだアカウントのデータを含んだクエリを作成し、zlibライブラリを使用して圧縮したのち犯罪者のリモートサーバーへ送信します。システムを感染させた後は、そのコンピューターからのスパム配信が可能であるかどうかを確認する為に、ランダムな文字の組み合わせで作成したメールを送信します。送信に成功すると、今後のスパム配信に必要なデータをリモートサーバーから受け取ります。4月24日現在、Trojan.Spambot.11349はバイアグラの広告を含んだメールを配信しています。

このトロイの木馬のシグネチャは既にDoctor Webウイルスデータベースに加えられており、Dr.Webアンチウイルス製品をご利用のユーザーはその脅威から保護されています。しかしながら、万一お使いのメールアカウントへのアクセスデータが盗まれた可能性がある場合は、直ちにメールアカウントのパスワードを変更することを推奨します。