2016年6月10日

株式会社Doctor Web Pacific

今日拡散されているマルウェアの中には「ファイルレス」トロイの木馬と呼ばれるカテゴリがあります。その主な特徴は、ファイルではなくコンピューターのメモリ内に直接ペイロードを置くというものです。動作に必要なファイルは様々なコンテナ内に保存されますが、その1つにWindowsシステムレジストリがあります。本記事では、このようなトロイの木馬に属する Trojan.Kovter.297 について紹介します。

Trojan.Kovterは Trojan.MulDrop6.42771 と呼ばれる別の悪意のあるアプリケーションを使用して拡散され、この Trojan.MulDrop6.42771 はコンピューター上にマルウェアをインストールする目的に特化して設計されています。これらトロイの木馬のセットはDr.Web Anti-virusによって Trojan.Kovter.297 として検出されます。そのシンプルな目的に反して、 Trojan.MulDrop6.42771 は極めて高度な構造を有しています。すなわち、そのコードにはランダムな行や関数呼び出しが多く含まれ、それによりトロイの木馬の解析をより困難なものにしているほか、そのライブラリは自身のリソース内にイメージとして隠されています。また、このトロイの木馬はセキュリティリサーチャーがマルウェアサンプルの解析に使用する仮想マシンまたはその他のデバッグツールが動作中であるかどうかを確認することができます。それらが見つかった場合、 Trojan.MulDrop6.42771 は直ちに動作を終了します。そのほか、スクリーン上にランダムなテキストメッセージを表示させ、Windowsユーザーアカウント制御（UAC）を無効にする機能も備えています。

Trojan.MulDrop6.42771 はシステム内で自動起動するために7つの、また、自身を起動させるために6つの異なる方法を用いることができます。トロイの木馬がどのように起動するかは、その設定ファイルで規定されています。さらに、コンピューターに接続されたすべてのドライブのルートフォルダ内に自身をコピーし、autorun.infファイルを作成することでワームのように自身を拡散します。

前述したように、 Trojan.MulDrop6.42771 のいくつかのサンプルにはファイルレストロイの木馬であるTrojan.Kovterが含まれていました。通常、このトロイの木馬は Trojan.MulDrop6.42771 によって起動されますが、一方で、自動起動する機能も備えています。Trojan.Kovterはシステムレジストリ内に複数のエントリを作成します。そのうちの1つはトロイの木馬の本体で、また別の1つは自身の復号化およびコンピューターメモリ内へのロードに必要なスクリプトです。これらエントリの名前には読み取り不可能な文字が含まれているため、regeditプログラムでは表示することができません。

Trojan.Kovter は、検出やアンインストールを避け、できる限り長くシステム上に残るために、ディスク上に自身をコピーすることなくコンピューターのメモリ内で動作します。また、 Trojan.Kovter は複数のMicrosoft Internet Explorerウィンドウを同時に開いてウイルス開発者の指定したwebサイトへ飛び、トラフィックを増やすために広告のリンクやバナーをクリックすることから、アドウェア型トロイの木馬に分類することができます。こうして犯罪者はアフィリエイトプログラムと広告主から報酬を得ます。

感染したコンピューター上で自身の動作を隠ぺいしようと試みる Trojan.Kovter ですが、Dr.Web Anti-virusによって検出・削除することが可能です。ユーザーの皆様には、ウイルスデータベースをタイムリーにアップデートし、コンピューターが感染している疑いがある場合には定期的にスキャンを実行することを強く推奨します。