Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

アンチウイルスプログラムを無効にする新たなRmnetマルウェア

2013年5月27日

株式会社Doctor Web Pacific


Doctor Webは、Rmnetボットネットワークの構築に使用されるマルウェア内で発見された、新たな悪意のあるモジュールについてユーザーの皆様に警告します。そのうちの1つは、感染させたコンピューター上にインストールされたアンチウイルスソフトウェアを無効にする機能を持っています。また、Doctor Webのアナリストは、それらコンポーネントを含んだボットによって形成されるRmnetサブネットの1つに対するコントロールを掌握することに成功しました。

ボットネットの構築を可能にするウイルスWin32.Rmnet.12及びWin32.Rmnet.16の大規模な拡散については以前にも報告しましたが、Win32.Rmnetは自身を複製することの出来る複合マルチコンポーネントファイルインフェクターです。このウイルスは複数のモジュールから成り、その主な機能はロードされたwebページ内に外部コンテンツを埋め込み、犯罪者の指定したサイトへブラウザをリダレクトすること、またユーザーがwebフォームに入力した情報をリモートサーバーに送信することです。さらに、Win32.Rmnet.12はGhisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのポピュラーなFTPクライアントによって保存されたパスワードを盗むことも出来ます。

Doctor WebはDNSシンクホールと呼ばれる手法を用いて、さらに別のWin32.Rmnetサブネットの乗っ取りに成功しました。その結果、Trojan.Rmnet.19と名付けられた2つの新たなマルウェアが、サブネットに接続されたノード間で拡散されていることが判明しました。1つ目のマルウェアは感染したシステム上で仮想マシン(VM)が動作しているかどうかを検知する機能を持っていますが、注意が必要なのは2つ目のマルウェアです。このモジュールはユーザーによる入力を模倣して(該当するアイコンをクリックするなど)Microsoft Security Essential、Norton Antivirus、Eset NOD32、Avast、Bitdefender、AVGを無効にします。

Dr.WebコンポーネントのアップロードにはCAPTCHAコードの入力が必要になっており、Trojan.Rmnet.19にもその機能は備わっていないため、Dr.Webアンチウイルスソフトウェアを使用しているコンピューターに危害が及ぶことはありません。

screen

ウイルスによって、コントロールサーバーから感染したコンピューター上に合計7個の悪意のあるモジュールがダウンロードされます。

  • アンチウイルスソフトウェアを無効にする新しいモジュール
  • クッキーを盗むモジュール
  • ローカルFTPサーバー
  • Webインジェクションモジュール
  • FTPパスワードを盗むモジュール
  • 仮想マシンを検出する新しいモジュール
  • 感染したシステムへのリモートアクセスを可能にするモジュール

また、Rmnetファイルインフェクターには以下の基本的なコンポーネントも備わっています。

  • モジュールローダー
  • バックドア
  • アンチウイルスソフトウェアを削除するモジュール

2013年5月22日現在、Doctor Webアンチウイルスラボによってコントロールされているサーバーには1万8,000台を超えるボットが接続されています。収集された統計情報から、攻撃の対象となったのは主にイギリス及びアイルランド(感染件数1万5,253、全体の84.5%)、次いでフランス(感染件数1,434、全体の7.9%)であることが明らかになりました。現在もDoctor Webアナリストによって注意深く状況の監視が続けられています。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F