Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

SAPを狙ったトロイの木馬が出現

2013年11月25日

株式会社Doctor Web Pacific


Doctor Webは、SAPエンタープライズソフトウェアを標的とする悪意のあるプログラムについてユーザーの皆様に警告します。このプログラムは、個人情報だけでなくユーザーが入力したパスワードをも盗む、Trojan.PWS.Ibankと名付けられ広く拡散されているバンキングトロイの木馬ファミリーに属しています。

Doctor Webアナリストによる詳細な解析の結果、この脅威はTrojan.PWS.Ibankファミリーの他のマルウェアと異なり、ボットの構造に変更が加えられていることが明らかになりました。そのIPC(Inter-Process Communication)ルーチンは改変され、SOCKS5サブルーチンは削除されています。一方で、このトロイの木馬の内部暗号化ルーチンは従来のままです。また、そのペイロードも他のTrojan.PWS.Ibankプログラム同様、別々のダイナミックリンクライブラリに含まれ、犯罪者のC&Cサーバーとの通信にも同じプロトコルが使用されています。

このトロイの木馬のインストーラーは、デバッガまたは仮想マシン環境で起動されているかどうかを検出する機能によって解析を妨げ、また、Sandboxie環境で起動されているかどうかの確認も実行します。32ビット版および64ビット版いずれのWindows上でも動作することができ、異なるプラットフォームに対してそれぞれ異なる感染手法を用います。メインモジュールの実行するコマンドには、バンキングクライアントソフトウェアの動作をブロックする機能をトグルオン/オフするコマンド、C&Cサーバーからの設定ファイルをプログラムに与えるコマンドが追加され、従来のTrojan.PWS.Ibankプログラムに比べて2つ多くなっています。

Trojan.PWS.Ibankプログラムは、実行中の様々なプロセス内に自身のコードを挿入する機能を備えていますが、さらに、今回の新しいバージョンでは実行中のアプリケーションの名前を判別するルーチンが追加されています。そのようなアプリケーションの1つにSAPエンタープライズソフトウェアがあります。売上や税金などを管理するための多くのコンポーネントが組み込まれたこのソフトウェアは、結果として大量の機密情報を扱います。感染したシステム内でSAPソフトウェアを検出するこのトロイの木馬の最初のバージョンは、6月には既にインターネット経由で拡散されており、Trojan.PWS.Ibank.690としてDr.Webウイルスデータベースに追加されています。また、最新の亜種はTrojan.PWS.Ibank.752として追加されました。Trojan.PWS.Ibankプログラムは、次の悪意のある動作を実行します。

  • ユーザーの入力したパスワードを盗み、データを犯罪者に送信する
  • アンチウイルス会社のwebサイトへのアクセスをブロックする
  • C&Cサーバーから受け取ったコマンドを実行する
  • 感染したコンピューター上でプロキシサーバーやVNCサーバーを起動させる
  • OSやブートセクターに対し、修復不可能なダメージを与える

セキュリティエキスパートは、SAPソフトウェアおよびERPソフトウェアに対するウイルス開発者の関心が高まりつつあることに警戒心を抱いています。それらのソフトウェアが扱うビジネス上の機密情報が犯罪者によって盗まれてしまう恐れがあります。

現在までのところ、SAPソフトウェアに対するTrojan.PWS.Ibankプログラムの動作は、感染したシステム内にSAPが存在するかどうかを確認する、動作中のプロセスに自身のコードを挿入する、の2つに限られ、大きな損害は発生していません。しかし、ウイルス開発者は来たるべき攻撃の実行に備えて下準備を進めている段階であるという可能性も否定できません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F