2014年8月22日

株式会社Doctor Web Pacific

サイバー犯罪者は利益を得るために、一般的な詐欺からトロイの木馬の拡散、個人情報の窃盗およびそれらの不正使用まであらゆる手段を尽くしています。これらサイバー犯罪の中でも特徴的なものとしてクリック詐欺があげられますが、今回、 Trojan.Click3.9243などの特別なマルウェアが使用されていることが確認されました。

クリック詐欺の多くは、本物のユーザーがサイトを訪れてペイパークリック広告をクリックしたように装い、広告主から支払いを得るというものです。このような詐欺には、標的となるコンピューター上に密かにインストールされた特別なソフトウェアが使用される場合があります。今回Doctor Webによって発見されたそのようなプログラムの1つにTrojan.Click3.9243があります。

このトロイの木馬は、ウイルス開発者との連携によってセキュリティエキスパートの間で悪名高いInstallmonster（別名Zipmonster）からAd Expert Browserを装って拡散されています。その使用許諾契約には、ユーザーがネットサーフィンを行っている間にAd Expert Browserによって広告が表示される場合がある旨が記載されていますが、Trojan.Click3.9243の本当の目的を考えるとその可能性は低いことが分かります。感染させたコンピューター上で起動されると、Trojan.Click3.9243は隠されたWindowsデスクトップを作成し、様々なwebページを開いて広告をクリックするために必要なプロセスを開始します。このトロイの木馬は、その動作が実際の人物によって行われた操作であるかのように装う機能を持っています。そのような動作には、サイト内のスクロールやマウスポインターの動きがあり、さらに、埋め込まれたコードを使用して動画を再生すると、本物のユーザーの操作を妨げないよう音声を無効にします。また、Trojan.Click3.9243は動作の過程で、感染したコンピューター上で実行中のプロセスのリスト、およびシステムのCPU負荷についての情報を犯罪者のサーバーへ送信します。このトロイの木馬のデジタル署名について解析を行った結果、Trojan.Click3.9243の開発にはTrojan.Zadved.1の開発者が関わっている可能性があるとウイルスアナリストによって結論付けられました。Trojan.Zadved.1についてはこちらのウイルスレビューをご覧ください。

Doctor Webでは、疑わしいサイトからソフトウェアをインストールせず、最新のアンチウイルスを使用することを推奨しています。