Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Webからの警告:システムレジストリ内に潜む「ファイルレス」トロイの木馬Kovter

2016年6月10日

株式会社Doctor Web Pacific


今日拡散されているマルウェアの中には「ファイルレス」トロイの木馬と呼ばれるカテゴリがあります。その主な特徴は、ファイルではなくコンピューターのメモリ内に直接ペイロードを置くというものです。動作に必要なファイルは様々なコンテナ内に保存されますが、その1つにWindowsシステムレジストリがあります。本記事では、このようなトロイの木馬に属する Trojan.Kovter.297 について紹介します。

Trojan.KovterTrojan.MulDrop6.42771 と呼ばれる別の悪意のあるアプリケーションを使用して拡散され、この Trojan.MulDrop6.42771 はコンピューター上にマルウェアをインストールする目的に特化して設計されています。これらトロイの木馬のセットはDr.Web Anti-virusによって Trojan.Kovter.297 として検出されます。そのシンプルな目的に反して、 Trojan.MulDrop6.42771 は極めて高度な構造を有しています。すなわち、そのコードにはランダムな行や関数呼び出しが多く含まれ、それによりトロイの木馬の解析をより困難なものにしているほか、そのライブラリは自身のリソース内にイメージとして隠されています。また、このトロイの木馬はセキュリティリサーチャーがマルウェアサンプルの解析に使用する仮想マシンまたはその他のデバッグツールが動作中であるかどうかを確認することができます。それらが見つかった場合、 Trojan.MulDrop6.42771 は直ちに動作を終了します。そのほか、スクリーン上にランダムなテキストメッセージを表示させ、Windowsユーザーアカウント制御(UAC)を無効にする機能も備えています。

Trojan.MulDrop6.42771 はシステム内で自動起動するために7つの、また、自身を起動させるために6つの異なる方法を用いることができます。トロイの木馬がどのように起動するかは、その設定ファイルで規定されています。さらに、コンピューターに接続されたすべてのドライブのルートフォルダ内に自身をコピーし、autorun.infファイルを作成することでワームのように自身を拡散します。

前述したように、 Trojan.MulDrop6.42771 のいくつかのサンプルにはファイルレストロイの木馬であるTrojan.Kovterが含まれていました。通常、このトロイの木馬は Trojan.MulDrop6.42771 によって起動されますが、一方で、自動起動する機能も備えています。Trojan.Kovterはシステムレジストリ内に複数のエントリを作成します。そのうちの1つはトロイの木馬の本体で、また別の1つは自身の復号化およびコンピューターメモリ内へのロードに必要なスクリプトです。これらエントリの名前には読み取り不可能な文字が含まれているため、regeditプログラムでは表示することができません。

screen Trojan.Kovter #drweb

Trojan.Kovter は、検出やアンインストールを避け、できる限り長くシステム上に残るために、ディスク上に自身をコピーすることなくコンピューターのメモリ内で動作します。また、 Trojan.Kovter は複数のMicrosoft Internet Explorerウィンドウを同時に開いてウイルス開発者の指定したwebサイトへ飛び、トラフィックを増やすために広告のリンクやバナーをクリックすることから、アドウェア型トロイの木馬に分類することができます。こうして犯罪者はアフィリエイトプログラムと広告主から報酬を得ます。

感染したコンピューター上で自身の動作を隠ぺいしようと試みる Trojan.Kovter ですが、Dr.Web Anti-virusによって検出・削除することが可能です。ユーザーの皆様には、ウイルスデータベースをタイムリーにアップデートし、コンピューターが感染している疑いがある場合には定期的にスキャンを実行することを強く推奨します。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F