2011年12月8日掲載

株式会社Doctor Web Pacific

Doctor Webは、BackDoor.Padsと呼ばれる新たなバックドアについて警告します。この悪意のあるプログラムは、感染したコンピューター上にある情報を収集して犯罪者に送信し、さらに、リモートサーバーからのコマンドを実行することもできます。

BackDoor.Padsはアセンブリ言語で書かれたモジュールで、様々なコンポーネントとして組み込まれています。起動されると、バックドアがコードを解読してその管理を転送します。次に、悪意のあるモジュールは、その活動に欠かせないWindowsのAPIシステムライブラリを検索します。

BackDoor.Padsの機能は、このタイプのバックドアとしては非常に標準的なもので、OSのバージョン、コンピューター名、およびそのIPアドレスを含む感染したコンピューターに関する情報を収集します。次にBackDoor.Padsは、Internet Explorerのレジストリの接続設定からバックドアを読み込むためのネットワーク設定がプロキシサーバー内に存在するかどうか判別を試みます。さらに、WebブラウザのInternet Explorer、Firefox、Opera、Chrome、およびメールクライアントやその他のアプリケーションを実行するプロセスを検索します。見つかった場合、そのメモリを解読して対応するコードを実行します。explorer.exe のトークン取得に成功すると、感染したコンピューター上でユーザーのキー入力を記録するキーロガーを解読して実行します。このモジュールは、Trojan.PWS.Padsという名前でDr.Webのウイルスデータベースに追加されました。

BackDoor.Padsは、感染したコンピューター上で収集した情報を攻撃者のリモートサーバーに送信し、コマンドを受け取ります。バックドアに備わっている機能はTelnetサーバーとほぼ同様ですが、全ての実行可能なマルウェア自体に「保護」機能が含まれているため、cmd.exeといった外部シェルを使用しません。バックドアが実行可能なコマンドには、ファイルの検索、フォルダの作成／削除、ファイルのコピー／移動／削除、Windowsの再起動、実行中のプロセス一覧の取得、特定のユーザーからのファイルのダウンロードおよび実行などがあります。さらに、BackDoor.Padsはプロキシとしての機能も実行します。

ユーザーにとってこのマルウェアの恐ろしさは、それらが感染したコンピューター上で別々のチームとして働き、コンピューターリソースへのアクセスをハッカーに与えてしまうという点にあります。Dr.WebのウイルスデータベースにはBackDoor.Padsのシグネチャが既に追加されており、Dr.Web製品のユーザーにはこの脅威からの完全な保護が提供されています。