Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Windowsユーザーを脅かす新たなバックドア

2015年4月8日

株式会社Doctor Web Pacific


Doctor Webは、サイバー犯罪者から受け取ったコマンドを実行し、感染したコンピューター上で撮影したスクリーンショットをリモートサーバーに送信する新たな悪意のあるプログラムについて解析を行いました。このバックドアは、感染したコンピューター上に仮想マシンやアンチウイルスプログラムが存在するかどうかを確認する機能も備えています。

VBS.BackDoor.DuCk.1と名付けられたこのトロイの木馬はVisual Basic Scriptで書かれ、アーカイブされたVBSスクリプトの埋め込まれたLNKアイコンファイルとして拡散されています。アイコンがクリックされるとVBSスクリプトが抽出され、個別のファイルとして保存されたのちに起動されます。

VBS.BackDoor.DuCk.1はC&Cサーバーのアドレスを特定するために一風変わった手法を用いています。VBSスクリプトの先頭には3つのリンクが含まれており、そのうちの2つはYouTubeに、最後の1つはDropboxファイル共有サービスにユーザーをリダレクトします。

screen

トロイの木馬はこれらのリソースに対してGETリクエストを送信し、our (.*)th psy anniversaryという正規表現を用いて、受け取った応答内で検索を実行します。検索結果を31,337で割り、16進数に変換したものがC&CサーバーのIPアドレスになります。サーバーが動作しているかどうかを確かめるために、トロイの木馬は取得したアドレスに対してGETリクエストを送信し、応答に「OKOKOK」というストリングが含まれていることを確認します。

VBS.BackDoor.DuCk.1は、感染させたコンピューター上に仮想マシンが存在するかどうか、また、OSをモニタリングするよう設計されたアプリケーションのプロセスが動作中であるかどうかを確認する機能を備えています。そのほか、中でも特にアンチウイルスプログラムの有無を確認することができます(感染させたコンピューター上にアンチウイルスプログラムがインストールされていた場合、トロイの木馬はスクリプトの1つを実行しません)。

VBS.BackDoor.DuCk.1はWindowsユーザーのカレントディレクトリ内に作成したサブフォルダを作業フォルダとして使用します。また、自身の存在を隠す目的で、一時フォルダ内にvtoroy_doc.docファイルを保存した上でユーザーに対して表示します。

screen

このトロイの木馬のコードには、末尾にPowerPointのプロセスを終了させるアルゴリズムが含まれています(該当するチェックボックスにチェックが入っている場合)。このことから、当初はPowerPointを使用するつもりであったものが、何らかの理由で変更されたものと考えられます。

VBS.BackDoor.DuCk.1はスクリーンショットの撮影に自身のライブラリを使用し、スクリーンショットは.tmp拡張子を持つファイルとして一時フォルダ内に保存されます。また、特殊なREGファイルを使用してMicrosoft Internet Explorerプラグインを無効にします。コンピューターのOSがWindows Vistaであった場合は、また別のREGファイルを使用してMicrosoft Internet Explorerブラウザの保護モードを無効にします。さらに、このトロイの木馬はautorunフォルダ内にショートカットを作成することで、自動的に起動されます。

screen

screen

サーバーからコマンドを受け取るために、VBS.BackDoor.DuCk.1は1分毎に該当するリクエストを送信します。このトロイの木馬はコマンドに従って感染したコンピューター上に別のマルウェアをダウンロードするほか、撮影したスクリーンショットをリモートサーバーに送信する機能を備えています。そのほかのコマンドは全てVBS.BackDoor.DuCk.1によってCMD(コマンドインタープリタ)またはPowerShellに送信されます。また、このトロイの木馬は感染させたコンピューター上でPythonスクリプトを実行し、その結果を暗号化した上で犯罪者のサーバーへ送信することができます。

Dr.Webウイルスデータベースには既にVBS.BackDoor.DuCk.1のシグネチャが追加されているため、Dr.Webユーザーに危害が及ぶことはありません。

この脅威についての詳細(英語)

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F