2014年11月4日
株式会社Doctor Web Pacific
Trojan.SteamLogger.1はDota 2、Counter-Strike: Global Offensive、Team Fortress 2のユーザーからアイテムを盗むほか、キーストロークを記録して犯罪者に送信します。このトロイの木馬もTrojan.SteamBurglar.1同様、フォーラムやSteamライブチャットを利用してゲームアイテムの売買や交換を持ちかけることで拡散されていると考えられます。
この悪意のあるプログラムは3つのモジュールで構成され、最初の1つはボディからメインモジュールおよびサービスモジュールを抽出し復号化するドロッパーです。サービスモジュールはUpdate.exeとして一時フォルダ内に保存された後に起動され、メインモジュールはシステムルーチンを利用して感染したシステムのメモリ内にロードされます。次にサービスモジュールは犯罪者のサイトから画像をダウンロードし、それらを一時フォルダ内に保存して画面上に表示させます。
サービスモジュールはProgram Filesフォルダ内にサブディレクトリCommon Files\Steam\が存在するかどうかを確認し、存在しなかった場合はそれを作成します。続けてSteamService.exeという名前で自身をフォルダ内にコピーし、実行ファイルに“system”および“hidden”属性を設定します。続けてレジストリブランチ内に自身を登録することでSteamService.exeが自動実行されるようにします。その後、犯罪者のサイトにクエリを送信し、“OK”コマンドが返ってこなかった場合はトロイの木馬のボディに組み込まれたプロキシサーバーのリストを用いてC&Cサーバーへの接続を試みます。Trojan.SteamLogger.1は、OSバージョン、プラットフォーム、Cドライブのあるハードディスクのシリアル番号から算出されたユニークなIDなどの、感染したコンピューターに関する情報をリモートサーバーに送信します。さらに、サービスモジュールをアップデートするためのコマンドを受け取ることもできます。
Trojan.SteamLogger.1のメインモジュールは、起動されると感染したシステムメモリ内でSteamプロセスを検索し、ユーザーがアカウントを使用してSteamサーバー上にログインしているかどうかを確認します。ログインしていない場合、プレイヤーがサーバーに認証されるまで待ち、Steamユーザーアカウントに関する情報(SteamGuardが有効かどうか、Steam ID、セキュリティトークン)を盗んで犯罪者に送信します。その応答としてTrojan.SteamLogger.1は、被害者から盗んだアイテムの送信先となるアカウントのリストを受け取ります。収集されたデータを全て犯罪者のサーバーへ送信した後、トロイの木馬はSteam設定内で自動認証が有効になっているかどうかを確認し、無効になっていた場合は別のスレッドを作成してキーロガーを起動させます。記録されたキーストロークは15秒間隔で犯罪者に送信されます。
貴重なゲームアイテムを判別するためにTrojan.SteamLogger.1は「Mythical」、「Legendary」、「Arcana」、「Immortal」、「DOTA_WearableType_Treasure_Key」、「Container」、「Supply Crate」などのキーワードを使用しています。このことから、このトロイの木馬は最も価値のあるアイテムであるchestやchest keyを盗もうとしていることが分かります。また、Trojan.SteamLogger.1はプレイヤー自身によるアイテムの売買をモニタリングし、プレイヤーがアイテムを売ろうとした場合は該当するアイテムをリスト上から削除することでそれを妨げます。
Trojan.SteamLogger.1は現時点でDota 2、Counter-Strike: Global Offensive、Team Fortress 2を標的としていますが、他のゲームからアイテムを盗むよう改良される可能性もあります。盗まれた仮想アイテムは全てC&Cサーバーからのコマンドに従って犯罪者のアカウントに送られます。その後、犯罪者は特別に設計されたオンラインストアを使用して、盗んだアイテムの中で最も安いDota 2のchest keyを売ろうとします。chest key以外のアイテムを換金する方法については明らかになっていません。
Dr.Webのウイルスデータベースには既にTrojan.SteamLogger.1のシグネチャが追加されています。そのため、Doctor Webのアンチウイルスソフトウェアによって保護されたシステムが被害を受けることはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments