Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Trojan.MWZLesson—POS端末を狙うトロイの木馬

2015年9月16日

株式会社Doctor Web Pacific


クレジットカードによる決済処理を可能にするPOS端末は多くの企業で使用されていることから、長年にわたりウイルス開発者の主要な標的となっています。今回、POS端末を感染させる新たなトロイの木馬がDoctor Webセキュリティリサーチャーによって発見されました。このトロイの木馬はDoctor Webウイルスアナリストによく知られた悪意のあるプログラムの亜種であることが明らかになりました。

POS端末を感染させるよう設計され、Trojan.MWZLessonと名付けられたこのトロイの木馬は、起動されるとアプリケーションの自動起動を司るレジストリブランチを改変します。この悪意のあるプログラムには感染させたデバイスのRAM内でクレジットカード情報を探すモジュールが含まれています。このコードはPOS端末を感染させる別のトロイの木馬Trojan.PWS.Dexterのコードを流用したものです。Trojan.MWZLessonは取得したクレジットカード情報やその他の情報をC&Cサーバーへ送信します。

Trojan.MWZLessonは感染させたシステムのブラウザ(Firefox、Chrome、Internet Explorer)から送信されたGETおよびPOSTリクエストを盗み取り、それらをサイバー犯罪者によって管理されるコントロールサーバーへと送信します。さらに、このトロイの木馬は以下のコマンドを実行することができます:

  • CMD—コマンドをコマンドインタプリタに送信(cmd.exe)
  • LOADER—ファイルをダウンロード、実行(dll— regsrvツールを使用、vbs— wscript ツールを使用、exe— 直接実行)
  • UPDATE—自身をアップデート
  • rate—C&Cサーバーとの通信セッション間隔を設定
  • FIND—マスクを使用してドキュメントを検索
  • DDOS—HTTPフラッド攻撃を実行

Trojan.MWZLessonはHTTPプロトコル経由でサーバーとの通信を行います。その際、トロイの木馬によって送信されるパッケージはいずれも暗号化されません。Trojan.MWZLessonは特別なCookieパラメータを使用しますが、このパラメータがパッケージに含まれていなかった場合、サーバーはトロイの木馬からのリクエストを無視します。

Trojan.MWZLessonの構造について解析を行った結果、Doctor Webセキュリティリサーチャーは、このトロイの木馬は別の悪意のあるプログラムであるBackDoor.Neutrino.50のシンプルなバージョンであると結論付けました。BackDoor.Neutrino.50のコードの一部が新たな亜種であるTrojan.MWZLessonの作成に使用されていたためです。

BackDoor.Neutrino.50はCVE-2012-0158脆弱性を悪用するマルチコンポーネントなバックドアで、サイバー犯罪者によってハッキングされたwebサイトからダウンロードされていました。BackDoor.Neutrino.50は起動されるとシステム内で仮想マシンの存在を確認し、仮想マシンが検出された場合は「An unknown error occurred. Error - (0x[ランダムな数字])」というエラーメッセージを表示させた後、自身を削除します。

POS端末上で動作可能なだけでなく、このトロイの木馬はMicrosoftメールクライアントによって保存された情報や、ポピュラーなFTP クライアントを使用してFTPプロトコル経由でリソースにアクセスするためのアカウント情報を盗むことができます。また、Trojan.MWZLessonおよびBackDoor.Neutrino.50は、様々な種類のDDoS攻撃を実行、システム内で検出された悪意のあるプログラムを削除、LAN上にある端末を感染させようと試みるなど、その他のコマンドを実行する機能も備えています。

Dr.Webウイルスデータベースには、これらトロイの木馬のシグネチャが既に追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F