2018年7月9日

株式会社Doctor Web Pacific

サイバー犯罪者は悪意のあるソフトウェアの拡散に様々な手法を用いています。そのうちの1つに更新の標準的なメカニズムを使用したものがあり、 Trojan.Encoder.12544 (別名Petya、 Petya.A、 ExPetya、 WannaCry-2) および BackDoor.Dande はこの手法を用いて拡散されていました。この度、同様の手法を用いたまた別の事例についてDoctor Webのスペシャリストによる調査が行われました。

Dr.Webのアンチウイルスが仮想通貨をマイニングするアプリケーションを頻繁に検出・削除しているという情報が、Doctor Webのユーザーからテクニカルサポートに寄せられました。アンチウイルスのログを調べた結果、感染したコンピューターの一時フォルダにマイニング型トロイの木馬が潜んでいることが明らかになりました。同時に、このアプリケーションは『Kompiuternyi Zal』の製造元であるAstrum Soft社のWebサイトに該当するIPアドレスに接続を試みていました。このソフトウェアはコンピュータークラブやインターネットカフェを自動化するためのものです。

このアプリケーション自体にも仮想通貨をマイニングする機能が公式に搭載されており、ユーザーはコンピューターがアイドル状態になっている時にその機能を有効にすることができます。

しかしながら、ユーザーを悩ませているのはアプリケーション『Kompiuternyi Zal』ではなく、そこに潜んだマイニング型トロイの木馬であるということが、その後の調査で明らかになっています。 Trojan.BtcMine.2869 としてDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、『Kompiuternyi Zal』の更新メカニズムを介してAstrum Soft社のサーバーから自動的にダウンロードされていました。その後、トロイの木馬は自身をシステム内にインストールします。

アプリケーション『Kompiuternyi Zal』は製造元のサーバーに定期的にリクエストを送信します。このリクエストにはアプリケーションのバージョン番号とシステムに関する情報が含まれています。サーバーはプログラムの更新機能を持つとする実行ファイルをダウンロード・起動するコマンドを返しますが、サンプルを検査した結果、それらには悪意のある機能を持つファイルが含まれていました。この悪意のあるソフトウェアは svchostm.exe プロセスと svcnost.exe プロセスを終了させ、マイニング型トロイの木馬をコンピューター上に保存し、自身が自動的に起動するようWindowsシステムレジストリキーを改変します。マイニングされた仮想通貨が転送されるウォレットのデータはトロイの木馬の本体にハードコードされています。ユーザーが悪意のあるソフトウェアをアンインストールした場合、更新メカニズムはそれを再度ダウンロード・起動することができます。

Doctor Webのセキュリティリサーチャーは、7月9日までに2700台を超えるコンピューターが Trojan.BtcMine.2869 に感染しているということを確認しています。Astrum Soft社のサーバーからダウンロードされたサンプルでは、感染したコンピューターの名前に「soyuz6_」プレフィックスが付けられていました。このプレフィックスはトロイの木馬の本体にハードコードされています。今日までに613台の感染した「soyuz6_」コンピューターが発見されています。このトロイの木馬は2018年5月24日から7月4日にかけて拡散されており、Astrum Soft社ならびに法執行機関に対しては、すでに報告が行われています。

Trojan.BtcMine.2869の詳細(英語)