Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Facebookユーザーを脅かす新たなトロイの木馬

2012年2月7日掲載

株式会社Doctor Web Pacific


感染したコンピューターを利用し、Facebookやメッセージクライアント経由でスパムを拡散するTrojan.OneXについてDoctor Webはユーザーの皆様に警告します。現在、似たような機能を持つこのトロイの木馬の亜種が2つ発見されています。その拡散手法から、被害者の数は極めて多くなる可能性があると言えます。

Trojan.OneXは32ビット版のWindows上でのみ動作し、64ビット版上ではリモートサーバーからテキストファイルをダウンロードした後に動作を終了します。感染したシステム上で起動されると、Trojan.OneX.1は自身のコピーが既にシステム上に存在しないかどうかを確認し、特別なテキストファイルをダウンロードする為のリモートサーバーアドレスを解読します。このファイルには “hahaha! http://goo.gl [...]. jpeg“のような英語のフレーズが含まれており、ユーザーがFacebookに投稿しようとしたメッセージをトロイの木馬がそれらのフレーズと置き換えます。ただし、メッセージが置き換えられるのはチャットモードの場合のみで、その場合、ユーザーが感染したシステムから送信した本当のメッセージはブロックされます。トロイの木馬は1時間ごとに新しい設定ファイルをリモートサーバーからダウンロードします。

Trojan.OneX.1はfirefox、iexplore、IEXPLOREという名前を持つ実行中のプロセスをシステム内で検索し、見つかった場合はそのプロセス内に自身のコードを挿入します。

このトロイの木馬の最初の亜種が発見されてまもなく、Doctor WebのウイルスアナリストはTrojan.OneX.2と名付けられたマルウェアのサンプルを入手しました。最初のバージョンと異なり、この亜種はブラウザではなくskype、pidgin、aim、msnmsgr icq.exe、yahoom、ymsg_tray.exe、googletalk、xfire.exeなどのメッセンジャーソフトを利用します。メッセージ送信時には、感染したシステムに接続されているマウスやキーボードがブロックされます。また、Trojan.OneX.2はUnicode形式の実行ファイルをパースすることが出来るという点もTrojan.OneX.1とは異なっています。

screen

トロイの木馬によって送信されたメッセージには悪意のあるフィッシングサイトへのリンクが含まれていることがあり、そのようなサイトの中にはRapidShareを模倣したものがあります。ユーザーは、実際はPhoto14.JPG.scr ― BackDoor.IRC.Bot.1446の組み込まれた実行ファイル(Trojan.Packed.22289)―を含んだZIP アーカイブであるJPEG画像をダウンロードするよう促されます。この悪意のあるプログラムは、攻撃者がコンピューターにアクセスして個人データを盗むことを可能にするだけでなく、感染したコンピューター上で他のアプリケーションのダウンロードやインストールなどの様々なコマンドを実行することも可能にします。また、Trojans BackDoor.IRC.BotがTrojan.OneXの拡散に使用され、そのTrojan.OneXによってTrojans BackDoor.IRC.Botがさらに拡散されるというケースがDoctor Web によって発見されているという事実は注目に値するでしょう。

これら悪意のあるプログラムのシグネチャは既にDr.Webウイルスデータベースに加えられており、Dr.Webアンチウイルスソフトウェアをお使いのユーザーのシステムは確実に保護されています。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2020

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F