Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、POS端末を標的とする新たなトロイの木馬を発見

2016年8月2日

株式会社Doctor Web Pacific


カード決済に使用されるPOS(Point-of-Sale)端末は常にサイバー犯罪者の標的となっており、これらの端末から横取りしたデータを犯罪者に送信する多くのトロイの木馬の存在がITセキュリティスペシャリストによって明らかになっています。先頃、それらトロイの木馬のうちの1つに亜種が登場し、Doctor Webセキュリティリサーチャーによる分析が行われました。

Trojan.Kasidet.1 と名付けられたこのトロイの木馬は Trojan.MWZLesson の改変されたバージョンです。 Trojan.MWZLesson に関する詳細については2015年9月に公開されたこちらの記事をご覧ください。このトロイの木馬も Trojan.Kasidet.1 同様、Mozilla Firefox、Google Chrome、Internet Explorer、Maxthonブラウザから送信されたGETおよびPOSTリクエストを盗み取る機能を備えています。

Trojan.Kasidet.1 は自己展開型SFX-RARアーカイブであるSCRファイルを含んだZIPアーカイブとして拡散されています。このファイルによって主要な悪意のあるペイロードが抽出され、実行されます。

まず初めに、 Trojan.Kasidet.1 は感染させたシステム上で自身のコピー、仮想マシン、エミュレータ、デバッガの存在を確認します。自身の動作を妨げるようなプログラムが検出された場合、 Trojan.Kasidet.1 は動作を終了しますが、検出されなかった場合は管理者権限を取得して動作を続けます。画面にはユーザーアカウント制御(UAC)による警告が表示されますが、動作中のアプリケーション(wmic.exe)はMicrosoft社のものを装っており、このことがユーザーの油断を招いていると考えられます:

screen Trojan.Kasidet.1 #drweb

次に、wmic.exeユーティリティが Trojan.Kasidet.1 の実行ファイルを起動させます。 Trojan.MWZLesson と同様、このトロイの木馬はPOS端末から取得したクレジットカード情報を探してコンピューターのメモリをスキャンし、それらの情報を窃取してC&Cサーバーへ送信します。また、メールアプリケーションであるOutlook、Foxmail、Thunderbirdからパスワードを盗み、GETおよびPOSTリクエストを横取りする目的でMozilla Firefox、Google Chrome、Internet Explorer、Maxthonブラウザのプロセス内に侵入する機能を備えています。そのほか、感染したコンピューター上に別のアプリケーションや悪意のあるライブラリをダウンロードしてそれらを実行し、ディスク上で特定のファイルを検出し、動作中のプロセス一覧を作成してC&Cサーバーへ送信することができます。

Trojan.MWZLesson とは異なる点として、 Trojan.Kasidet.1 ではC&Cサーバーアドレスが管理者のいないドメイン「.bit(Namecoin)」に置かれているということが挙げられます。これはBitcoinテクノロジーを基にした代替DNSルートサーバーのシステムで、一般的なブラウザではこのようなネットワークリソースにアクセスすることはできません。一方、 Trojan.Kasidet.1 は独自のアルゴリズムを用いることでC&CサーバーのIPを取得しています。このNamecoinテクノロジーを使用する悪意のあるプログラムの存在は2013年より知られていますが、その他のトロイの木馬と異なり、それほど多くは拡散されていません。

Dr.Web Anti-virusは Trojan.Kasidet.1 を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F