2016年12月16日

株式会社Doctor Web Pacific

他のプログラムを密かにインストールするよう設計された悪意のあるプログラムは、ウイルス開発者の間で非常に高い人気を集めています。インターネット上には、サイバー犯罪者たちがソフトウェアのダウンロードによって収益を得ることを可能にする、いわゆるアフィリエイト・プログラムが存在します。2016年12月、そのようなダウンローダ型トロイの木馬の1つである Trojan.Ticno.1537 がDoctor Webのスペシャリストによって発見されました。

Trojan.Ticno.1537 は、別のマルウェアプログラムによってコンピューター上にダウンロードされます。 起動されると、動作中のプロセス名とWindowsシステムレジストリ内の該当するブランチをチェックすることで、仮想環境とデバッグツールが存在するかどうかを確認します。また、プロダクトID、ユーザーおよびコンピューター名、Program Files内にネストされたフォルダの数、BIOSメーカー名を取得し、動作中のプロセスにperl.exeまたはpython.exeが存在するかどうかを確認します。プロセスのスキャンに成功すると、トロイの木馬はExplorerを起動させた後、動作を終了します。

何も問題が見つからなかった場合、 Trojan.Ticno.1537 は1.zipと名付けられたファイルをディスク上に保存します。

上の画像はMicrosoft Windowsの標準的な「保存」ダイアログボックスではありません。左下に「Additional settings（追加設定）」リンクがあります。このリンクをクリックすると、 Trojan.Ticno.1537 がコンピューター上にインストールするプログラムのリストが表示されます：

ユーザーが「Save（保存）」をクリックしてしまうと、 Trojan.Ticno.1537 によってそれらのプログラムがダウンロード・インストールされます。

Trojan.Ticno.1537 によってインストールされるプログラムにはAmigoブラウザ、Mail.Ru によって開発されたHomeSearch@Mail.ruプログラム、そしてトロイの木馬である Trojan.ChromePatch.1、 Trojan.Ticno.1548、 Trojan.BPlug.1590、 Trojan.Triosir.718、 Trojan.Clickmein.1、 Adware.Plugin.1400があります。

上記 Trojan.ChromePatch.1 は、TrayCalendarアプリケーションによって拡散されるアドウェアで、2002年に作成されています。このプログラムとトロイの木馬は1つのインストールパッケージ内に含まれています。

TrayCalendarがディスク上にコピーされている間に、 Trojan.ChromePatch.1 によってGoogle Chrome拡張機能が保存され、インストールされます。 Trojan.ChromePatch.1 の最も注目すべき特徴はChromeリソースファイルresources.pakを感染させるというものです。この手法は、トロイの木馬が削除された後も強制的に広告を表示させることができるよう、2015年の春からサイバー犯罪者によって用いられているものです。 Trojan.ChromePatch.1 はコメントを含んだストリングをresources.pak内で探し、それを自身のコードと置き換えるため、感染過程においてこのファイルのサイズに変化はありません。 Trojan.ChromePatch.1 はChromeブラウザ内に広告を表示させるよう設計されています。

Dr.Web Anti-virusは上記トロイの木馬を全て検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。