2016年2月18日

株式会社Doctor Web Pacific

ウイルス開発者は、感染させたシステム上に別のマルウェアをダウンロードし、サイバー犯罪者から受け取ったコマンドを実行するよう設計された悪意のあるプログラムを作成し続けています。2月にも、新たなバックドア型トロイの木馬がDoctor Webセキュリティリサーチャーによって発見されています。このトロイの木馬は他の同種のプログラムとは異なる特徴を有していました。

BackDoor.Andromeda.1407と名付けられたこの悪意のあるプログラムは、「Hydra」としても知られるダウンローダ型トロイの木馬Trojan.Sathurbot.1によって拡散されています。BackDoor.Andromeda.1407は主にサイバー犯罪者から受け取ったコマンドを実行するように設計され、そのコマンドの中にはマルウェアアプリケーションをダウンロード・インストールするというものが含まれています。

起動されると、はコマンドラインをチェックして「/test」キーを探します。キーが見つかった場合は「\n Test - OK」というテキストを含んだメッセージをコンソールに表示させ、3秒後に自身の動作を停止させます。この機能はプログラムのパッカーの動作を確認するためのものであると考えられます。その後すぐ、トロイの木馬はシステムをスキャンして仮想マシン、プロセスやシステムレジストリへの参照をモニターするアプリケーション、およびその他のデバッガを検索します。トロイの木馬にとって脅威となり得る何らかのプログラムが見つかった場合、バックドアは永久にスリープモードに入ります。

その後、BackDoor.Andromeda.1407はシステムボリュームIDを取得します。このIDは様々な名前のオブジェクトの値を生成する際、中でも特に環境変数やサーバーに送信されるメッセージ内で使用されます。次に、トロイの木馬は別のプロセス内に自身のコードの挿入を試み、最初のプロセスを停止させます。成功すると、OSの容量、バージョン、現在のユーザー権限、キーボードレイアウトなど、感染したコンピューターに関する情報を収集します。ロシア語、ウクライナ語、ベラルーシ語、またはカザフ語のキーボードが使用されていた場合、BackDoor.Andromeda.1407は動作を停止し、自身をシステムから削除します。

BackDoor.Andromeda.1407はeurope.pool.ntp.org、north-america.pool.ntp.org、south-america.pool.ntp.org、asia.pool.ntp.org、oceania.pool.ntp.org、africa.pool.ntp.org、pool.ntp.orgなどのサイトを参照することで、正確な時間の値を取得しようと試みます。これらのサーバーから必要な情報を応答として得られなかった場合、バックドアはシステム時間のリクエストを送信します。時間の値はトロイの木馬のプラグインによって使用されます。次に、Windowsシステム通知の表示が無効になり、OSのバージョンによっては一部のシステムサービスも無効になります。

感染したシステムがMicrosoft Windows 8以降を搭載していた場合、トロイの木馬は現在のユーザー権限で動作を続けます。Windows 7では、よく知られた手法の1つを用いて権限の昇格を試み、ユーザーアカウント制御（UAC）を無効にします。

しかし、これでトロイの木馬のインストールが完了したわけではありません。BackDoor.Andromeda.1407はWindows Explorer内の隠しファイルの表示を無効にし、システムフォルダやユーザープロファイルフォルダを参照して書き込み可能なフォルダを探します。フォルダが見つかると、その中に任意の名前でドロッパーをコピーし、ファイルにhidden属性やsystem属性を指定することでユーザーから隠します。作成日時も変更されています。最後に、BackDoor.Andromeda.1407はシステムレジストリブランチを改変し、自身のメインモジュールが自動的に起動されるようにします。

バックドアは特別な暗号化キーを用いてC&Cサーバーとの接続を確立します。暗号化キーはその後テキストメッセージに変換されます。サーバーのIPも同様に暗号化され、トロイの木馬のボディ内にハードコードされています。感染したコンピューターのIPアドレスを取得するために、BackDoor.Andromeda.1407はmicrosoft.com、update.microsoft.com、bing.com、google.com、yahoo.comなどのサーバーを参照します。情報は暗号化され、JSON（JavaScript Object Notation）を使用してやり取りされます。こうして、バックドアはサイバー犯罪者からコマンドを受け取ります。それらのコマンドには、追加のプラグインをダウンロードする、実行ファイルをダウンロード・実行する、全てのプラグインを削除する、感染したシステムからトロイの木馬を削除する、などが含まれています。

BackDoor.Andromeda.1407はTrojan.Encoder.3905ランサムウェア型トロイの木馬、Trojan.PWS.Panda.2401バンキングトロイの木馬、Trojan.Click3.15886、BackDoor.Siggen.60436、Trojan.DownLoader19.26835などのトロイの木馬をダウンロード・インストールすることができるということが、Doctor Webセキュリティリサーチャーによって明らかになっています。Dr.WebはBackDoor.Andromeda.1407の検出・削除に成功しています。