2013年9月6日

株式会社Doctor Web Pacific

Doctor Webは、Linux.Hanthieと名付けられた、Linuxを狙う新たな悪意のあるプログラムについてユーザーの皆様に警告します。詳細な解析の結果、”Hand of Thief”としても知られるこのトロイの木馬は、幅広い悪意のある機能を実行するだけでなく、アンチウイルスによる検出を避けるためシステム内に自身を隠ぺいすることが可能であるということが明らかになりました。

現在このマルウェアは、アンダーグラウンドでのハッカーフォーラムにて頻繁に売買されています。Linux.Hanthieはアンチウイルスによる検出を妨げるテクノロジーを搭載し、管理者権限を必要とせずユーザーに気づかれることなく起動し、コントロールパネルとの通信に強度の高い暗号化（256-bit）を使用します。また、ボットの設定ファイルには多くのパラメータが含まれ、その柔軟な設定を可能にしています。

このトロイの木馬は起動されると、アンチウイルスソフトウェアおよびそのアップデートをダウンロードするサイトへのアクセスをブロックします。さらに、アンチウイルススキャンを回避し、リモートや仮想での環境で動作することが可能です。

Linux.Hanthieの最新のバージョンは自身を複製する機能を持たないため、開発者は、ソーシャルエンジニアリングの手法を利用してそれらを拡散するよう犯罪者に対して推奨しています。このトロイの木馬はUbuntu、Fedora、Debianなど様々なLinuxディストリビューション上での動作、およびGNOMEやKDEなどの8種類のデスクトップ環境での動作が可能です。

Linux.Hanthi起動後、システム内でこのトロイの木馬のプロセスや仮想マシンが既に動作していないかどうかを、自身のインストーラによってチェックします。次にスタートアップファイルを作成し、そのコピーをディスク上のフォルダ内に置きます。さらに、tempファイル内にライブラリを作成し、実行中の全てのプロセスに対してそのコードの挿入を試みます。失敗した場合、tempファイル内にある、C&Cサーバーとの通信のみを司る別の実行ファイルを起動させ、オリジナルコピーを削除します。

Linux.Hanthiは複数の機能的モジュールを含んでいます。その内の1つに、悪意のある機能を実行するライブラリがあります。このライブラリはMozilla Firefox、Google Chrome、Opera、Chromium、Ice Weasel内にグラバーを挿入し、このグラバーがHTTPSおよびHTTPS通信を傍受し、webページ内でユーザーが入力したデータを犯罪者に送信します。また、このライブラリはバックドアとしても機能し、C&Cサーバーとの通信は暗号化されます。

また、このトロイの木馬は複数のコマンドを実行することができ、特に”socks”コマンドは感染したシステム上でプロキシサーバーを起動させます。トロイの木馬は”bind”コマンドによってポートをリッスンするスクリプトを実行し、”bc”コマンドによってリモートサーバーに接続します。また、”update”コマンドを受け取ると自身の新たなバージョンをダウンロード・インストールし、”rm”コマンドによって自身を削除します。実行中の”bind”または”bc”スクリプトにユーザーがアクセスを試みた場合、コントロールパネルには次のメッセージが表示されます。

また別のモジュールには、限られた範囲での悪意のあるタスクを、コードの挿入無しに実行することを可能にするものもあります。

Dr.Webのウイルスデータベースには、Linux.Hanthiのシグネチャが既に追加されています。そのため、このトロイの木馬はDr.Webアンチウイルスソフトウェアによって検出され、システムから削除されます。