Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

DynDNSを装うクリッカー型トロイの木馬

2018年11月28日

株式会社Doctor Web Pacific


通常、サイバー犯罪者たちは従来の拡散経路を用いることが多く、その1つがスパムです。しかしながら、時にそれ以外の手法が用いられることもあります。本記事では、Doctor Webのエキスパートが発見したそのような事例について紹介します。

Trojan.Click3.27430 は、それ自体は特筆すべきものではなく、Webサイトのトラフィックを増加させるよくあるクリッカー型トロイの木馬です。興味深いのは犯罪者が被害者のデバイス上にこのマルウェアをインストールする際に用いる手法です。

このトロイの木馬は、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にするDynDNSソフトウェアのユーザーを攻撃対象にしています。ウイルス作成者は、このプログラムを無料でダウンロードできるとするWebページdnsip.ruを作成し、さらに、訪問者を自動的にdnsip.ruにリダイレクトするdns-free.comドメインを所有しています。

screenshot Trojan.Click3.27430 #drweb

このWebサイトでは実際にアーカイブをダウンロードすることができます。アーカイブには実行ファイル setup.exe が含まれていますが、これはDynDNSインストーラではなくダウンローダです。これにはインターネットからダウンロードされたファイルの名前が格納されており、Doctor Webで分析したサンプルでは "Setup100.arj" でした。

その明らかな拡張子に反し、 "Setup100.arj"はARJアーカイブではありません。実行可能なMZPEファイルであり、自動解析ツールやその他のアプリケーションにMZPEとして認識されないよう、その値のうち3つが改変されています。

screenshot Trojan.Click3.27430 #drweb

まず初めに、このプログラムはPowerShellを使用してWindows Defenderを無効にし、信頼性を高めるために自身を動作させるレジストリキーに変更を加えます。

次に、ドロッパーがファイルinstsrv.exe、 srvany.exe、 dnshost.exe、 yandexservice.exeをSystem32フォルダに保存します。 Instsrv.exe、 srvany.exe、 dnshost.exeはWindowsのユーザー定義サービスを作成するためのMicrosoftユーティリティで、 yandexservice.exeが Trojan.Click3.27430 です。続けて、ドロッパーは Trojan.Click3.27430 の悪意のある機能を実行する実行ファイル yandexservice.exe を "YandexService" という名前のサービスとして登録します。このサービスはインストール時にWindows自動実行リストに追加されます。ドロッパーが悪意のあるサービスを保存して起動させると、DynDNSアプリケーションがインストールされます。ユーザーが感染したコンピューターからこのアプリケーションをアンインストールしようとした場合、DynDNSのみが削除され、 Trojan.Click3.27430 はシステムに残って悪意のある動作を続けます。

マルウェアアナリストはトロイの木馬のまた別のコンポーネントである実行ファイルdnsservice.exeについても調査を行いました。このファイルもまた、DNSサービスという名前のWindowsサービスとして感染したコンピューター上にインストールされます。ウイルス作成者はこのマルウェアプログラム内にある、以下の特定のデバッグ行を削除し忘れていました。


C:\Boris\Программы\BDown\Project1.vbp 
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.en.new\Project1.vbp 
C:\Boris\Программы\Barmash_en_Restarter3\Project1.vbp

このコンポーネントは、barmash.ruからダウンロードされるアーカイブを装った dnsservice.arj ファイルとして拡散されています。

screenshot Trojan.Click3.27430 #drweb

Trojan.Click3.27430 のすべての既知の亜種はDr.Webによって検出・削除されます。また、Webサイトdnsip.ru、 dns-free.com、 barmash.ruはWebアンチウイルスであるSpIDer Gateの非推奨サイトリストに追加されています。

Doctor Webの収集したデータによると、2013年に最初の感染が発生してから現在までに約1,400人のユーザーがこのトロイの木馬に感染しています。脅威の痕跡情報 (Indicator of Compromise) 一覧はこちらをご確認ください。

Trojan.Click3.27430の詳細(英語)

#clicker #Trojan

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F