ユーザー向け情報

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Trojan.Mayachokの新たな亜種についての警告

2012年10月5日掲載

株式会社Doctor Web Pacific


Doctor Webは、Trojan.Mayachok.17727としてDr.Webウイルスデータベースに追加された、 Trojan.Mayachokの危険な新たなバージョンについてユーザーの皆様に警告します。

8月には最も多く検出された脅威の1位を占めていた Trojan.Mayachok.1ですが、9月の初旬以降その感染数に著しい減少が見られることがDoctor Webのスペシャリストによって示されました。その減少率は極めて大きく、8月の後半と比較すると、感染したコンピューター数の合計は31%減少しています。下のチャートは、その推移を表しています。

graph

Doctor Webのアナリストは、このような変化はTrojan.Mayachokの最初のバージョンの代わりになると思われる新たな亜種の出現と関係があるとしています。Trojan.Mayachok.17727と名付けられたこの新しいバージョンは大幅に変更されたコードを持ち、さらに重要なことに、以前にも増してユーザーに気付かれにくくなるよう設計されたソリューションを用いています。例えば、ドロッパーTrojan.Mayachok.17727は感染のプロセスでコンピューターを再起動させず、また、被害者に気付かれることなくインストールされます。

このトロイの木馬はドロッパー、及び悪意のある主な機能を実装したダイナミックリンクライブラリの2つのコンポーネントで構成されています。ドロッパーは%MYDOCUMENTS%ディレクトリ内にIntMayakという名前のフォルダを作成し、その中にトロイの木馬のライブラリ及びそれらをシステム内に登録する為のREGファイルを一時的に保存します。次にドロッパーは、コンピューターメモリ内で起動されたexplorer.exeのプロセスを探し、そこに悪意のあるコードを挿入します。このコードを使用し、トロイの木馬は悪意のあるライブラリのコピーをexplorer.exeプロセスとしてシステムディレクトリ% SYSTEM32%内に保存します。また、Trojan.Mayachok.17727はレジストリエディタを使用して、全てのプロセス内での悪意のあるライブラリの起動に関与するレジストリブランチを変更し、REGファイルをインポートします。さらに、ドロッパーは一時ファイル及びIntMayakフォルダそのものを削除し、その侵入形跡を隠ぺいする為にCookieファイルを削除しMicrosoft Internet Explorerブラウザのキャッシュをクリアします。

悪意のあるライブラリは、Microsoft Internet Explorer、Opera、 Mozilla Firefox、 Google Chromeブラウザに対応しています。Trojan.Mayachok.17727はその動作の過程で、ユーザーの閲覧したWebページに挿入されたスクリプトやその他のパラメータ、管理サーバーのリストを含んだ暗号化された設定ファイルをディスク上に書き込みます。

Trojan.Mayachok.1とは異なり、このトロイの木馬のコードには大きな変更が加えられています。感染したシステム内に仮想化ソリューションが存在するかどうかの確認を行わなくなり、対応するプロセス数およびそれらの名前を比較するメカニズムが変更され、設定ファイルの整合性を検証する機能が無くなりました。Trojan.MayachokはVBR (Volume Boot Record)を感染させるテクニックを用いる最初のトロイの木馬の1つですが、このテクニックはTrojan.Mayachok製作者によって開発されたものではなく、他のウイルス製作者から買われたものであることが後に判明しました。例えば、同様のコードがバンキングトロイの木馬 Trojan.Carberp内でも発見されています。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2022

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F