Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : ランサムウェアの被害を拡大させたドロッパーとは?

2018年3月5日

株式会社Doctor Web Pacific


Dropper (ドロッパー) は、マルウェアをPCや他のデバイスに感染させるアプリケーションです。

WannaCryの被害拡大にはこの種のプログラムが使用されました。

WannaCryのドロッパーには、パスワード保護された暗号化ランサムウェアファイルや、サイバー犯罪者の要求が表示されるWindowsデスクトップの壁紙、オニオンサーバーのアドレスのリスト、ビットコインの取引口座の名前 (Torネットワークを持った別のアーカイブを含む) など、大量のツールが含まれています。

本体のワームを起動し、システムに自身をインストールした後、ランダムに指定されたシステムサービスとして自身のコピーを起動しようとします。これが失敗した場合、通常のアプリケーションとして実行します。ドロッパーの主な仕事は、アーカイブされたコンテンツをディスクに保存し、ランサムウェアを起動させることです。

Dropper (ドロッパー) とは・・・

ターゲットとしたシステムに何らかのマルウェア (ウイルス、バックドアなど) をインストールするように設計されたトロイの木馬の一種。 第一段階として、ドロッパーはウイルススキャナによって検出されないような方法でマルウェアのコードを標的とするシステムに侵入させます。第二段階で、ドロッパーは、さらにマルウェアをダウンロードして攻撃します。

トロイの木馬は、特別なマクロが組み込まれたMicrosoft Excelファイルとしてドロッパーによって配布されます。マクロは、自己解凍形式のアーカイブを集めて起動します。アーカイブには、シマンテックに登録されている有効なデジタル署名を持つ実行可能ファイルと、主要なトロイの木馬のペイロードを運ぶダイナミックライブラリが含まれています。

次に、これだけでMulDropプログラムの役割を果たしたものがある日見つかりましたのでそれを紹介します。

#drweb

#drweb

ドロッパー自体はコンピュータを感染させることはできず、標的としたシステムに配信された後、起動される必要があります。

Trojan.MulDrop6.48664は悪名高いBackDoor.TeamViewer.49をコンピュータにインストールします。 今回見つかったドロッパーは、ロシアの人気航空会社が配布しているアンケートのアプリケーションを装いました。

他のマルウェアと同様に、ドロッパーは電子メールやブラウザ、リムーバブルメディアを介してシステムに「侵入」し、リモート攻撃中に展開させることができます。

また、ディスクにデータを書き込むために起動する別のプログラムの一部とすることもできます。 ここにがあります 。

Windows、Linux、Androidなど、多くのオペレーティングシステムでドロップ先が存在します。

ドロッパーはLazarus (Free Pascalコンパイラ用のフリーでクロスプラットフォームのIDE) で書かれています。 起動すると、ビットコインの暗号化を使用して操作を実行するように設計されたデバイスのリストを含む以下のダイアログが表示されます。

#drweb

トロイの木馬のもう1つのコンポーネント (バックドア) は、暗号化されていない状態で格納されています。

ドロッパーは、オペレーティングシステムのコンポーネントだけでなく、特定のアプリケーションにも感染する可能性があります。

1C.Drop.1は、1C会計ソフトウェアのスクリプト言語を使用してキリル文字で書かれています。

#drweb

会計士をターゲットとした電子メールの添付ファイルとしてトロイの木馬が配布されました。 ユーザーが1C:Enterpriseプログラムでファイルを開いた場合、1C.Drop.1はデータベースに指定された電子メールアドレスを持つすべての請負業者に自身のコピーを送信し、この危険なランサムウェアはトロイの木馬を実行します。

他のマルウェアのインストールとは別に、他の悪意のある行為を実行しないため、特に危険です。彼らは自分の仕事を秘密裏に実行してから自分自身を削除することができます。

インストーラーをディスクに保存して実行させるドロッパーは、攻撃されたコンピュータで最初に起動されます。 また、ドロッパーを除去するBATファイルがマシン上で同時に起動されます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F