Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Linuxを標的とする悪質なペイロードを持った新たなトロイの木馬

2013年9月6日

株式会社Doctor Web Pacific


Doctor Webは、Linux.Hanthieと名付けられた、Linuxを狙う新たな悪意のあるプログラムについてユーザーの皆様に警告します。詳細な解析の結果、”Hand of Thief”としても知られるこのトロイの木馬は、幅広い悪意のある機能を実行するだけでなく、アンチウイルスによる検出を避けるためシステム内に自身を隠ぺいすることが可能であるということが明らかになりました。

現在このマルウェアは、アンダーグラウンドでのハッカーフォーラムにて頻繁に売買されています。Linux.Hanthieはアンチウイルスによる検出を妨げるテクノロジーを搭載し、管理者権限を必要とせずユーザーに気づかれることなく起動し、コントロールパネルとの通信に強度の高い暗号化(256-bit)を使用します。また、ボットの設定ファイルには多くのパラメータが含まれ、その柔軟な設定を可能にしています。

このトロイの木馬は起動されると、アンチウイルスソフトウェアおよびそのアップデートをダウンロードするサイトへのアクセスをブロックします。さらに、アンチウイルススキャンを回避し、リモートや仮想での環境で動作することが可能です。

Linux.Hanthieの最新のバージョンは自身を複製する機能を持たないため、開発者は、ソーシャルエンジニアリングの手法を利用してそれらを拡散するよう犯罪者に対して推奨しています。このトロイの木馬はUbuntu、Fedora、Debianなど様々なLinuxディストリビューション上での動作、およびGNOMEやKDEなどの8種類のデスクトップ環境での動作が可能です。

Linux.Hanthi起動後、システム内でこのトロイの木馬のプロセスや仮想マシンが既に動作していないかどうかを、自身のインストーラによってチェックします。次にスタートアップファイルを作成し、そのコピーをディスク上のフォルダ内に置きます。さらに、tempファイル内にライブラリを作成し、実行中の全てのプロセスに対してそのコードの挿入を試みます。失敗した場合、tempファイル内にある、C&Cサーバーとの通信のみを司る別の実行ファイルを起動させ、オリジナルコピーを削除します。

Linux.Hanthiは複数の機能的モジュールを含んでいます。その内の1つに、悪意のある機能を実行するライブラリがあります。このライブラリはMozilla Firefox、Google Chrome、Opera、Chromium、Ice Weasel内にグラバーを挿入し、このグラバーがHTTPSおよびHTTPS通信を傍受し、webページ内でユーザーが入力したデータを犯罪者に送信します。また、このライブラリはバックドアとしても機能し、C&Cサーバーとの通信は暗号化されます。

また、このトロイの木馬は複数のコマンドを実行することができ、特に”socks”コマンドは感染したシステム上でプロキシサーバーを起動させます。トロイの木馬は”bind”コマンドによってポートをリッスンするスクリプトを実行し、”bc”コマンドによってリモートサーバーに接続します。また、”update”コマンドを受け取ると自身の新たなバージョンをダウンロード・インストールし、”rm”コマンドによって自身を削除します。実行中の”bind”または”bc”スクリプトにユーザーがアクセスを試みた場合、コントロールパネルには次のメッセージが表示されます。

screenshot

また別のモジュールには、限られた範囲での悪意のあるタスクを、コードの挿入無しに実行することを可能にするものもあります。

Dr.Webのウイルスデータベースには、Linux.Hanthiのシグネチャが既に追加されています。そのため、このトロイの木馬はDr.Webアンチウイルスソフトウェアによって検出され、システムから削除されます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F