Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Windowsユーザーを脅かす危険なバックドア

2015年3月20日

株式会社Doctor Web Pacific


Doctor Webでは、Windowsを搭載するコンピューターを標的とする危険なトロイの木馬についての分析を行いました。BackDoor.Yebotと名付けられたこの悪意のあるプログラムは感染させたコンピューター上で幅広い動作を行うことができます。中でも特に、自身のFTPサーバーやプロキシサーバーを動作させ、犯罪者のコマンドに従って様々な情報を検索し、感染させたコンピューター上のキーストロークを記録し、スクリーンショットやそのほか多くの情報をリモートサーバーに送信します。

BackDoor.Yebotは、Trojan.Siggen6.31836としてDr.Webウイルスデータベースに追加されたまた別のマルウェアによって拡散されています。コンピューター上で起動されると、この悪意のあるアプリケーションは自身のコードをsvchost.exe、csrss.exe、lsass.exe、explorer.exeプロセス内に挿入します。該当するリクエストをリモートサーバーに送信した後、BackDoor.Yebotをダウンロードした上で復号化します。続けてBackDoor.Yebotをコンピューターメモリ内に置き、コントロールを移譲します。Trojan.Siggen6.31836の一部の機能は暗号化されています(トロイの木馬の起動時にのみ復号化することができます。このアクションを実行するためにトロイの木馬はメモリを使用しますが、それらのメモリは機能コードの実行時に自動的に開放されます)。また、このマルウェアは標的とするシステム上の仮想マシンの存在を確認し、ユーザーアカウント制御を回避する機能を備えています。

BackDoor.Yebotは以下の動作を実行することができます:

  • 感染させたコンピューター上でFTPサーバーを動作させる
  • 感染させたコンピューター上でSOCKS 5プロキシサーバーを動作させる
  • 感染させたコンピューターへのアクセスを可能にするためにRDPプロトコルを変える
  • 感染させたコンピューターのキーボードに入力されたキーストロークを記録する(キーロギング)
  • ネットワークがNAT を使用していた場合、感染したコンピューターでFTP、RDP、Socks5のフィードバックを設定する(コネクトバック)
  • PCRE パターンのデータを傍受する―PCRE (Perl互換正規表現)はPerlと互換性のある正規表現を実装したライブラリであることから、このトロイの木馬はインターネットの動作に関連する全ての機能を傍受することが可能です。
  • SCard トークンを盗む
  • ユーザーがブラウザウィンドウで開いたページ内に任意のコンテンツを埋め込む(webインジェクション)
  • 受け取った設定ファイルに応じて、様々なシステム機能を傍受する
  • 受け取った設定ファイルに応じて、動作中のプロセスのコードを改変する
  • 様々な機能モジュール(プラグイン)と連携する
  • スクリーンショットを撮る
  • 感染させたシステム内でプライベートキーを探す

BackDoor.YebotはC&Cサーバーとのデータのやり取りに標準的なHTTPプロトコルのほか独自のバイナリプロトコルを使用します。また、C&Cサーバーはパラノイド設定を使用しています(例:リクエストが正しくない場合や1つのIPアドレスから送られたリクエストが多すぎる場合はそのIPアドレスをブラックリストに加えるなど)。

Doctor WebのスペシャリストはBackDoor.Yebotがバンキングトロイの木馬として利用される可能性について危惧しています。幅広い動作を実行し様々な追加のモジュールと連携するこのトロイの木馬は、それだけの十分な多機能性を有しています。Dr.WebウイルスデータベースにはBackDoor.YebotおよびTrojan.Siggen6.31836のシグネチャが既に追加されているため、Dr.Webによって保護されるコンピューターに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F