Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web:薬局向けソフトウェアePricaのインストーラに含まれて拡散され、 医薬品の購入に関する情報を盗むトロイの木馬BackDoor.Dande

2017年7月24日

株式会社Doctor Web Pacific


薬局や製薬企業を狙ったトロイの木馬 BackDoor.Dande による攻撃について調査を行うDoctor Webのスペシャリストにより、この度、新たな詳細が明らかになりました。このバックドアは標的となる端末上にePricaアプリケーションのコンポーネントとしてダウンロードされるだけでなく、同アプリケーションの古いバージョンのインストーラに組み込まれていました。

BackDoor.Dande による薬局や製薬企業に対する攻撃についてDoctor Webが最初に報告を行ったのは2011年のことでした。このバックドアは電子発注システムのユーザーから医薬品の購入に関する情報を盗んでいました。攻撃対象となったプログラムが製薬業界で使用されていたものであったことから、悪意のあるプログラムによる被害もまた同業界内に限られたものとなりました。以降、Doctor Webのスペシャリストは数年にわたってこのバックドアとその感染手法について調査を続けてきました。

最近の調査結果から、 BackDoor.Dande はePricaと呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されていることが明らかになっています。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは「Spargo Tekhnologii」のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名「Spargo」を持っていました。

その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントはePricaの古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。すなわち、ePrica開発元のセキュリティシステムが著しく損なわれているという可能性が示唆されています。ePricaは、プライベートキーによって暗号化された動的リンクライブラリ(DLL)であるプラグインNLBとEMDを持っており、それらには、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。

これらのプラグインを実行させるのがrunmod.exeモジュールです。このモジュールはサーバーから受け取ったコマンドに応じてプラグインを復号化し、メモリ内で起動させます。その後、データベースからの情報をコピーし、それらをリモートサーバーに送信します。アプリケーションのコンポーネントは、ePricaの開発元である「Spargo Tekhnologii」の含まれている企業グループ「Protek」の署名を持っています。

#drweb

ePricaを削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。ePricaがアンインストールされたシステム上に未だ BackDoor.Dande が存在している可能性があるのです。

トロイの木馬のモジュールが含まれているePricaバージョン4.0.14.6のインストーラは2013年11月18日にリリースされていますが、バックドアのファイルの一部は2010年のものとなっています。このことから、薬局や製薬企業での購入に関する情報のコピーは、バックドアが初めて発見される少なくとも1年前から行われていた可能性があると考えられます。

BackDoor.Dande を含んだePricaのインストーラに関するさらなる詳細については、Doctor Webのウイルスライブラリ(英語)をご確認ください。

ePricaについての詳細(英語)

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F