Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Steamユーザーを狙う新たなトロイの木馬

2014年11月4日

株式会社Doctor Web Pacific


2014年の秋はゲーマーを標的とするマルウェアが多く登場する結果となりました。9月、Doctor WebではDota 2のユーザーから貴重なゲームアイテムを盗むTrojan.SteamBurglar.1について報告しました。犯罪者による攻撃はこれだけに止まることはなく、今回、Trojan.SteamLogger.1と名付けられた新たなマルウェアがDoctor Webのウイルスアナリストによって発見されました。このプログラムはTrojan.SteamBurglar.1と類似した機能を持ち、複数のマルチプレイヤーゲームのユーザーを標的としています。

Trojan.SteamLogger.1はDota 2、Counter-Strike: Global Offensive、Team Fortress 2のユーザーからアイテムを盗むほか、キーストロークを記録して犯罪者に送信します。このトロイの木馬もTrojan.SteamBurglar.1同様、フォーラムやSteamライブチャットを利用してゲームアイテムの売買や交換を持ちかけることで拡散されていると考えられます。

この悪意のあるプログラムは3つのモジュールで構成され、最初の1つはボディからメインモジュールおよびサービスモジュールを抽出し復号化するドロッパーです。サービスモジュールはUpdate.exeとして一時フォルダ内に保存された後に起動され、メインモジュールはシステムルーチンを利用して感染したシステムのメモリ内にロードされます。次にサービスモジュールは犯罪者のサイトから画像をダウンロードし、それらを一時フォルダ内に保存して画面上に表示させます。

screen

サービスモジュールはProgram Filesフォルダ内にサブディレクトリCommon Files\Steam\が存在するかどうかを確認し、存在しなかった場合はそれを作成します。続けてSteamService.exeという名前で自身をフォルダ内にコピーし、実行ファイルに“system”および“hidden”属性を設定します。続けてレジストリブランチ内に自身を登録することでSteamService.exeが自動実行されるようにします。その後、犯罪者のサイトにクエリを送信し、“OK”コマンドが返ってこなかった場合はトロイの木馬のボディに組み込まれたプロキシサーバーのリストを用いてC&Cサーバーへの接続を試みます。Trojan.SteamLogger.1は、OSバージョン、プラットフォーム、Cドライブのあるハードディスクのシリアル番号から算出されたユニークなIDなどの、感染したコンピューターに関する情報をリモートサーバーに送信します。さらに、サービスモジュールをアップデートするためのコマンドを受け取ることもできます。

Trojan.SteamLogger.1のメインモジュールは、起動されると感染したシステムメモリ内でSteamプロセスを検索し、ユーザーがアカウントを使用してSteamサーバー上にログインしているかどうかを確認します。ログインしていない場合、プレイヤーがサーバーに認証されるまで待ち、Steamユーザーアカウントに関する情報(SteamGuardが有効かどうか、Steam ID、セキュリティトークン)を盗んで犯罪者に送信します。その応答としてTrojan.SteamLogger.1は、被害者から盗んだアイテムの送信先となるアカウントのリストを受け取ります。収集されたデータを全て犯罪者のサーバーへ送信した後、トロイの木馬はSteam設定内で自動認証が有効になっているかどうかを確認し、無効になっていた場合は別のスレッドを作成してキーロガーを起動させます。記録されたキーストロークは15秒間隔で犯罪者に送信されます。

貴重なゲームアイテムを判別するためにTrojan.SteamLogger.1は「Mythical」、「Legendary」、「Arcana」、「Immortal」、「DOTA_WearableType_Treasure_Key」、「Container」、「Supply Crate」などのキーワードを使用しています。このことから、このトロイの木馬は最も価値のあるアイテムであるchestやchest keyを盗もうとしていることが分かります。また、Trojan.SteamLogger.1はプレイヤー自身によるアイテムの売買をモニタリングし、プレイヤーがアイテムを売ろうとした場合は該当するアイテムをリスト上から削除することでそれを妨げます。

Trojan.SteamLogger.1は現時点でDota 2、Counter-Strike: Global Offensive、Team Fortress 2を標的としていますが、他のゲームからアイテムを盗むよう改良される可能性もあります。盗まれた仮想アイテムは全てC&Cサーバーからのコマンドに従って犯罪者のアカウントに送られます。その後、犯罪者は特別に設計されたオンラインストアを使用して、盗んだアイテムの中で最も安いDota 2のchest keyを売ろうとします。chest key以外のアイテムを換金する方法については明らかになっていません。

screen

screen

screen

Dr.Webのウイルスデータベースには既にTrojan.SteamLogger.1のシグネチャが追加されています。そのため、Doctor Webのアンチウイルスソフトウェアによって保護されたシステムが被害を受けることはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F