2013年11月25日

株式会社Doctor Web Pacific

Doctor Webは、SAPエンタープライズソフトウェアを標的とする悪意のあるプログラムについてユーザーの皆様に警告します。このプログラムは、個人情報だけでなくユーザーが入力したパスワードをも盗む、Trojan.PWS.Ibankと名付けられ広く拡散されているバンキングトロイの木馬ファミリーに属しています。

Doctor Webアナリストによる詳細な解析の結果、この脅威はTrojan.PWS.Ibankファミリーの他のマルウェアと異なり、ボットの構造に変更が加えられていることが明らかになりました。そのIPC（Inter-Process Communication）ルーチンは改変され、SOCKS5サブルーチンは削除されています。一方で、このトロイの木馬の内部暗号化ルーチンは従来のままです。また、そのペイロードも他のTrojan.PWS.Ibankプログラム同様、別々のダイナミックリンクライブラリに含まれ、犯罪者のC&Cサーバーとの通信にも同じプロトコルが使用されています。

このトロイの木馬のインストーラーは、デバッガまたは仮想マシン環境で起動されているかどうかを検出する機能によって解析を妨げ、また、Sandboxie環境で起動されているかどうかの確認も実行します。32ビット版および64ビット版いずれのWindows上でも動作することができ、異なるプラットフォームに対してそれぞれ異なる感染手法を用います。メインモジュールの実行するコマンドには、バンキングクライアントソフトウェアの動作をブロックする機能をトグルオン／オフするコマンド、C&Cサーバーからの設定ファイルをプログラムに与えるコマンドが追加され、従来のTrojan.PWS.Ibankプログラムに比べて2つ多くなっています。

Trojan.PWS.Ibankプログラムは、実行中の様々なプロセス内に自身のコードを挿入する機能を備えていますが、さらに、今回の新しいバージョンでは実行中のアプリケーションの名前を判別するルーチンが追加されています。そのようなアプリケーションの1つにSAPエンタープライズソフトウェアがあります。売上や税金などを管理するための多くのコンポーネントが組み込まれたこのソフトウェアは、結果として大量の機密情報を扱います。感染したシステム内でSAPソフトウェアを検出するこのトロイの木馬の最初のバージョンは、6月には既にインターネット経由で拡散されており、Trojan.PWS.Ibank.690としてDr.Webウイルスデータベースに追加されています。また、最新の亜種はTrojan.PWS.Ibank.752として追加されました。Trojan.PWS.Ibankプログラムは、次の悪意のある動作を実行します。

• ユーザーの入力したパスワードを盗み、データを犯罪者に送信する
• アンチウイルス会社のwebサイトへのアクセスをブロックする
• C&Cサーバーから受け取ったコマンドを実行する
• 感染したコンピューター上でプロキシサーバーやVNCサーバーを起動させる
• OSやブートセクターに対し、修復不可能なダメージを与える

セキュリティエキスパートは、SAPソフトウェアおよびERPソフトウェアに対するウイルス開発者の関心が高まりつつあることに警戒心を抱いています。それらのソフトウェアが扱うビジネス上の機密情報が犯罪者によって盗まれてしまう恐れがあります。

現在までのところ、SAPソフトウェアに対するTrojan.PWS.Ibankプログラムの動作は、感染したシステム内にSAPが存在するかどうかを確認する、動作中のプロセスに自身のコードを挿入する、の2つに限られ、大きな損害は発生していません。しかし、ウイルス開発者は来たるべき攻撃の実行に備えて下準備を進めている段階であるという可能性も否定できません。