2015年4月8日

株式会社Doctor Web Pacific

Doctor Webは、サイバー犯罪者から受け取ったコマンドを実行し、感染したコンピューター上で撮影したスクリーンショットをリモートサーバーに送信する新たな悪意のあるプログラムについて解析を行いました。このバックドアは、感染したコンピューター上に仮想マシンやアンチウイルスプログラムが存在するかどうかを確認する機能も備えています。

VBS.BackDoor.DuCk.1と名付けられたこのトロイの木馬はVisual Basic Scriptで書かれ、アーカイブされたVBSスクリプトの埋め込まれたLNKアイコンファイルとして拡散されています。アイコンがクリックされるとVBSスクリプトが抽出され、個別のファイルとして保存されたのちに起動されます。

VBS.BackDoor.DuCk.1はC&Cサーバーのアドレスを特定するために一風変わった手法を用いています。VBSスクリプトの先頭には3つのリンクが含まれており、そのうちの2つはYouTubeに、最後の1つはDropboxファイル共有サービスにユーザーをリダレクトします。

トロイの木馬はこれらのリソースに対してGETリクエストを送信し、our (.*)th psy anniversaryという正規表現を用いて、受け取った応答内で検索を実行します。検索結果を31,337で割り、16進数に変換したものがC&CサーバーのIPアドレスになります。サーバーが動作しているかどうかを確かめるために、トロイの木馬は取得したアドレスに対してGETリクエストを送信し、応答に「OKOKOK」というストリングが含まれていることを確認します。

VBS.BackDoor.DuCk.1は、感染させたコンピューター上に仮想マシンが存在するかどうか、また、OSをモニタリングするよう設計されたアプリケーションのプロセスが動作中であるかどうかを確認する機能を備えています。そのほか、中でも特にアンチウイルスプログラムの有無を確認することができます（感染させたコンピューター上にアンチウイルスプログラムがインストールされていた場合、トロイの木馬はスクリプトの1つを実行しません）。

VBS.BackDoor.DuCk.1はWindowsユーザーのカレントディレクトリ内に作成したサブフォルダを作業フォルダとして使用します。また、自身の存在を隠す目的で、一時フォルダ内にvtoroy_doc.docファイルを保存した上でユーザーに対して表示します。

このトロイの木馬のコードには、末尾にPowerPointのプロセスを終了させるアルゴリズムが含まれています（該当するチェックボックスにチェックが入っている場合）。このことから、当初はPowerPointを使用するつもりであったものが、何らかの理由で変更されたものと考えられます。

VBS.BackDoor.DuCk.1はスクリーンショットの撮影に自身のライブラリを使用し、スクリーンショットは.tmp拡張子を持つファイルとして一時フォルダ内に保存されます。また、特殊なREGファイルを使用してMicrosoft Internet Explorerプラグインを無効にします。コンピューターのOSがWindows Vistaであった場合は、また別のREGファイルを使用してMicrosoft Internet Explorerブラウザの保護モードを無効にします。さらに、このトロイの木馬はautorunフォルダ内にショートカットを作成することで、自動的に起動されます。

サーバーからコマンドを受け取るために、VBS.BackDoor.DuCk.1は1分毎に該当するリクエストを送信します。このトロイの木馬はコマンドに従って感染したコンピューター上に別のマルウェアをダウンロードするほか、撮影したスクリーンショットをリモートサーバーに送信する機能を備えています。そのほかのコマンドは全てVBS.BackDoor.DuCk.1によってCMD（コマンドインタープリタ）またはPowerShellに送信されます。また、このトロイの木馬は感染させたコンピューター上でPythonスクリプトを実行し、その結果を暗号化した上で犯罪者のサーバーへ送信することができます。

Dr.Webウイルスデータベースには既にVBS.BackDoor.DuCk.1のシグネチャが追加されているため、Dr.Webユーザーに危害が及ぶことはありません。

この脅威についての詳細（英語）