2018年3月5日
株式会社Doctor Web Pacific
Dropper (ドロッパー) は、マルウェアをPCや他のデバイスに感染させるアプリケーションです。
WannaCryの被害拡大にはこの種のプログラムが使用されました。
WannaCryのドロッパーには、パスワード保護された暗号化ランサムウェアファイルや、サイバー犯罪者の要求が表示されるWindowsデスクトップの壁紙、オニオンサーバーのアドレスのリスト、ビットコインの取引口座の名前 (Torネットワークを持った別のアーカイブを含む) など、大量のツールが含まれています。
本体のワームを起動し、システムに自身をインストールした後、ランダムに指定されたシステムサービスとして自身のコピーを起動しようとします。これが失敗した場合、通常のアプリケーションとして実行します。ドロッパーの主な仕事は、アーカイブされたコンテンツをディスクに保存し、ランサムウェアを起動させることです。
Dropper (ドロッパー) とは・・・
ターゲットとしたシステムに何らかのマルウェア (ウイルス、バックドアなど) をインストールするように設計されたトロイの木馬の一種。 第一段階として、ドロッパーはウイルススキャナによって検出されないような方法でマルウェアのコードを標的とするシステムに侵入させます。第二段階で、ドロッパーは、さらにマルウェアをダウンロードして攻撃します。
トロイの木馬は、特別なマクロが組み込まれたMicrosoft Excelファイルとしてドロッパーによって配布されます。マクロは、自己解凍形式のアーカイブを集めて起動します。アーカイブには、シマンテックに登録されている有効なデジタル署名を持つ実行可能ファイルと、主要なトロイの木馬のペイロードを運ぶダイナミックライブラリが含まれています。
次に、これだけでMulDropプログラムの役割を果たしたものがある日見つかりましたのでそれを紹介します。
ドロッパー自体はコンピュータを感染させることはできず、標的としたシステムに配信された後、起動される必要があります。
Trojan.MulDrop6.48664は悪名高いBackDoor.TeamViewer.49をコンピュータにインストールします。 今回見つかったドロッパーは、ロシアの人気航空会社が配布しているアンケートのアプリケーションを装いました。
他のマルウェアと同様に、ドロッパーは電子メールやブラウザ、リムーバブルメディアを介してシステムに「侵入」し、リモート攻撃中に展開させることができます。
また、ディスクにデータを書き込むために起動する別のプログラムの一部とすることもできます。 ここに例があります 。
Windows、Linux、Androidなど、多くのオペレーティングシステムでドロップ先が存在します。
ドロッパーはLazarus (Free Pascalコンパイラ用のフリーでクロスプラットフォームのIDE) で書かれています。 起動すると、ビットコインの暗号化を使用して操作を実行するように設計されたデバイスのリストを含む以下のダイアログが表示されます。
トロイの木馬のもう1つのコンポーネント (バックドア) は、暗号化されていない状態で格納されています。
ドロッパーは、オペレーティングシステムのコンポーネントだけでなく、特定のアプリケーションにも感染する可能性があります。
1C.Drop.1は、1C会計ソフトウェアのスクリプト言語を使用してキリル文字で書かれています。
会計士をターゲットとした電子メールの添付ファイルとしてトロイの木馬が配布されました。 ユーザーが1C:Enterpriseプログラムでファイルを開いた場合、1C.Drop.1はデータベースに指定された電子メールアドレスを持つすべての請負業者に自身のコピーを送信し、この危険なランサムウェアはトロイの木馬を実行します。
他のマルウェアのインストールとは別に、他の悪意のある行為を実行しないため、特に危険です。彼らは自分の仕事を秘密裏に実行してから自分自身を削除することができます。
インストーラーをディスクに保存して実行させるドロッパーは、攻撃されたコンピュータで最初に起動されます。 また、ドロッパーを除去するBATファイルがマシン上で同時に起動されます。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments