2018年3月6日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、既知のトロイの木馬ファミリーである Trojan.LoadMoney に属する複数のトロイの木馬について調査を行いました。これらトロイの木馬は感染させたコンピューター上に他の危険なアプリケーションをダウンロードすることができます。

Trojan.LoadMoney トロイの木馬ファミリーは2013年より知られており、その新たな亜種が定期的に出現しています。そのようなトロイの木馬の1つが Trojan.LoadMoney.3209 です。このトロイの木馬には、他のマルウェアをダウンロード・起動するために使用される2つのインターネットアドレスが含まれています。調査を実行した時点で、このトロイの木馬は両方のアドレスから同様に暗号化されたファイルをダウンロードし、それをランダムな名前で一時フォルダに保存していました。さらに、このファイルは削除された後でメモリ内にロードされ、再びランダムな名前で一時フォルダに保存されます。最後に、この実行ファイルがメモリ内に読み込まれ、起動されます。元のファイルは削除されます。

Trojan.LoadMoney.3209 によってダウンロードされるファイルの1つは Trojan.LoadMoney.3558 として検出されます。この Trojan.LoadMoney.3558 は、メインとなってシステムを感染させる、より複雑な悪意のあるプログラムです。ファイルをダウンロードするために、無料で配信されているユーティリティcURLを使用しますが、このユーティリティは、異なる複数のプロトコルを使用することでインターネット上にある複数のサーバーと同時にやり取りすることを可能にします。このトロイの木馬はそれらを復号化し、ディスクに保存します。感染させたコンピューター上にcURLを使用してファイルをダウンロードするために、 Trojan.LoadMoney.3558 はWindowsタスクスケジューラを利用します。このトロイの木馬にはインターネットリソースの暗号化されたアドレスが4つ含まれており、そのうちの1つはcURLユーティリティと動作するために使用され、その他のアドレスは Trojan.LoadMoney.3263 と名付けられた実行ファイルをダウンロードするために使用されます。 Trojan.LoadMoney.3263 はユーザーに気付かれることなく密かに起動され、その起動時には、元のファイル Trojan.LoadMoney.3263 が削除されます。

ダウンロード後、トロイの木馬は実行ファイルを抽出し、そのヘッダを復元して一時フォルダに保存した後、実行ファイルを起動させます。ファイルはDr.Webによって Trojan.Siggen7.35395 として検出されます。ウイルス開発者は悪意のあるコードに視覚的な特徴を与えていないため、上記トロイの木馬はいずれも感染したシステム内で姿を現しません。そのため、その悪意のある活動を検出することは困難です。

Doctor Webでは、この悪意のあるプログラムのファミリーと危険なファイルについて引き続き調査を行い、新たな情報が明らかになり次第、報告させていただきます。Dr.Webのアンチウイルス製品は Trojan.LoadMoney ファミリーのすべての既知の亜種からの保護を提供します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.LoadMoney.3209の詳細