2012年6月25日掲載

株式会社Doctor Web Pacific

2012年6月初旬、「最も小さいバンキングトロイの木馬」の発見が多くのメディアに取り上げられ、このトロイの木馬はセキュリティエキスパートによってTinba（tiny banker）と名付けられました。Doctor Webはこの脅威に関する技術的な分析をここに提供します。

アセンブリ言語で書かれたTinbaは、僅か20KBという非常にコンパクトなマルウェアで、現在までのところ、少なくとも5つの亜種が発見されています。ニュース機関やアンチウイルスデベロッパーがTinbaの発見について公表したのは2012年6月5日になってからでしたが、このマルウェアはTrojan.Hottrendとして既にDr.Webアンチウイルスによって検出されており、また、Dr.Webウイルスデータベースにこのトロイの木馬ファミリーの最初のレコードが追加されたのは2012年4月下旬でした。

感染したシステム内で起動されると、Tinbaは自身のコードを復号化し、winver.exeプログラム（Windowsのバージョン情報を表示させる標準プログラム）をコピーして自身のコードを挿入し、それを起動させます。次に、トロイの木馬はexplorer.exeプロセスを検索し、そこにも自身のコードを挿入します。さらに、Dr.Web によってTrojan.DownLoader6.12974として検出されたバージョンは、感染したコンピューター上で動作中の全てのプロセスに自身のコードを挿入します。

このトロイの木馬は、アプリケーションの自動実行を司るレジストリブランチ内に自身を登録し、また、bin.exeファイルに自身をコピーします。その後、HTTPSトラフィックの操作を可能にするために、混在したコンテンツをブラウザに表示できるようインターネット接続の設定を変更します。また、感染したコンピューター上にFirefoxがインストールされていた場合、ブラウザに表示されるセキュリティー警告を無効にするJavaScriptが含まれたuser.jsファイルを別のフォルダに保存します。トロイの木馬がコントロールサーバーへ接続するためのファイルもまたディスク上に保存されます。

コントロールサーバーアドレスはトロイの木馬のファイルに組み込まれています。Tinbaはサーバーに接続し、POSTルーチンを使用して暗号化されたデータを送信したのち応答を待ちます。このマルウェアの主要な目的は、インターネットトラフィックを監視し、重要な情報（バンキング情報など）を傍受して犯罪者に送信することにあります。

興味深いことに、Tinbaに関する最初の警告がメディア上に現れた少し後、 Trojan.PWS.Banker.64540と名付けられたもう1つの小さな悪意のあるプログラムがDoctor Webによって検出されました。このトロイの木馬はTrojan.Hottrendに比べると遥かに大きく（約80KB）、アセンブリ言語ではなくC++で書かれています。また、DLLファイルと実行ファイルの2つのコンポーネントから構成され、自身のデータをレジストリ内およびシステム一時フォルダに置かれたファイル内に保存します。この悪意のあるプログラムについての記事はこちらをご覧ください。

以上の情報によって、「小さなバンキングトロイの木馬に対する犯罪者達の関心は今後高まってくるであろう」というアナリストの推測が正しかったということが証明された形となりました。事実、このようなプログラムの亜種の数は着実に増加を続けています。