2012年7月27日掲載

株式会社Doctor Web Pacific

Doctor Webは、犯罪者が感染したコンピューターのコントロールを完全に掌握し、システムを動作不能な状態に陥らせることを可能にする、危険なクロスプラットフォームトロイの木馬についてユーザーの皆様に警告します。 BackDoor.DaVinci.1と名付けられたこの悪意のあるアプリケーションは、WindowsおよびMac OS Xの両方で動作します。また特にMac OS Xを標的としたバージョンでは、トロイの木馬のプロセスおよびファイルを隠ぺいするルートキットテクノロジーが初めて搭載されています。

BackDoor.DaVinci.1は、2003年に創設されたHackingTeam社によって開発・販売されています。この悪意のあるプログラムは、OS内にアプリケーションを隠ぺいするためのルートキットを使用するドライバなど、機能的モジュールを多数含んだマルチコンポーネントバックドアです。

BackDoor.DaVinci.1は、有効でないデジタル証明書による署名の付いたAdobeFlashPlayer.jarファイルとして拡散されています。7月23日、この署名付きアプレットが、ユーザーによって解析のためDoctor Webに送信されました。

このファイルはOSのタイプを判別し、感染したアプリケーションをシステム内に保存したのち起動させます。現時点においてDoctor Webのウイルスアナリストが入手しているトロイの木馬サンプルはWindowsおよびMac OS Xを標的としたものですが、モバイルプラットフォームを狙ったバージョンの存在も確認されています。

このマルウェアはモジュラー構造を持ち、メインバックドアコンポーネントには暗号化された設定ファイルおよびルートキットドライバが備わっています。これらのドライバによって、悪意のあるアプリケーションの存在が隠ぺいされます。モジュールの設定を含んだ同一の設定ファイルがトロイの木馬の全てのバージョンで使用されています。

犯罪者はBackDoor.DaVinci.1を使用して、感染したコンピューターに対する完全なコントロールを掌握することが可能です。さらにこのトロイの木馬は、感染したコンピューターに関する情報を保存して犯罪者に送信し、キーロガーとして動作し、スクリーンショットを撮り、電子メール・ICQ・Skypeのメッセージを傍受、コンピューターに接続されたマイクロフォンまたはビデオカメラによって記録されたデータを盗むことが出来ます。またこのバックドアは、アンチウイルスソフトウェアおよびファイアーウォールをすり抜けるためのツールを多数搭載しており、それによりシステム内で検知されることなく長期間活動することが可能です。興味深いことに、Mac OS X向けBackDoor.DaVinci.1は、そのファイルおよびプロセスを隠ぺいするルートキットテクノロジーを使用した、Mac OS Xを標的とするマルウェアとしては初めての例となりました。

HackingTeam社ではこの画期的製品を21世紀の武器と呼び、リモートコントロールおよびスパイ活動のソリューションとして販売しています。このトロイの木馬は、感染したコンピューター上のあらゆる情報を盗むだけでなく、システムを完全に乗っ取り動作不能な状態にする（そのコンポーネントを破損または削除するなどして）ことが可能であるという点で、ユーザーにとって重大な脅威となります。

「この悪意のあるアプリケーションは現代のあらゆるアンチウイルスプログラムに対抗することが可能である」というBackDoor.DaVinci.1の開発者による主張にも関わらず、Dr.Web for Windows および Dr.Web for Mac OS XはBackDoor.DaVinci.1の検出・駆除に成功しています。そのため、Dr.Webユーザーはこの脅威から確実に保護されています。