2012年10月5日掲載

株式会社Doctor Web Pacific

Doctor Webは、Trojan.Mayachok.17727としてDr.Webウイルスデータベースに追加された、 Trojan.Mayachokの危険な新たなバージョンについてユーザーの皆様に警告します。

8月には最も多く検出された脅威の1位を占めていた Trojan.Mayachok.1ですが、9月の初旬以降その感染数に著しい減少が見られることがDoctor Webのスペシャリストによって示されました。その減少率は極めて大きく、8月の後半と比較すると、感染したコンピューター数の合計は31%減少しています。下のチャートは、その推移を表しています。

Doctor Webのアナリストは、このような変化はTrojan.Mayachokの最初のバージョンの代わりになると思われる新たな亜種の出現と関係があるとしています。Trojan.Mayachok.17727と名付けられたこの新しいバージョンは大幅に変更されたコードを持ち、さらに重要なことに、以前にも増してユーザーに気付かれにくくなるよう設計されたソリューションを用いています。例えば、ドロッパーTrojan.Mayachok.17727は感染のプロセスでコンピューターを再起動させず、また、被害者に気付かれることなくインストールされます。

このトロイの木馬はドロッパー、及び悪意のある主な機能を実装したダイナミックリンクライブラリの2つのコンポーネントで構成されています。ドロッパーは%MYDOCUMENTS%ディレクトリ内にIntMayakという名前のフォルダを作成し、その中にトロイの木馬のライブラリ及びそれらをシステム内に登録する為のREGファイルを一時的に保存します。次にドロッパーは、コンピューターメモリ内で起動されたexplorer.exeのプロセスを探し、そこに悪意のあるコードを挿入します。このコードを使用し、トロイの木馬は悪意のあるライブラリのコピーをexplorer.exeプロセスとしてシステムディレクトリ% SYSTEM32%内に保存します。また、Trojan.Mayachok.17727はレジストリエディタを使用して、全てのプロセス内での悪意のあるライブラリの起動に関与するレジストリブランチを変更し、REGファイルをインポートします。さらに、ドロッパーは一時ファイル及びIntMayakフォルダそのものを削除し、その侵入形跡を隠ぺいする為にCookieファイルを削除しMicrosoft Internet Explorerブラウザのキャッシュをクリアします。

悪意のあるライブラリは、Microsoft Internet Explorer、Opera、 Mozilla Firefox、 Google Chromeブラウザに対応しています。Trojan.Mayachok.17727はその動作の過程で、ユーザーの閲覧したWebページに挿入されたスクリプトやその他のパラメータ、管理サーバーのリストを含んだ暗号化された設定ファイルをディスク上に書き込みます。

Trojan.Mayachok.1とは異なり、このトロイの木馬のコードには大きな変更が加えられています。感染したシステム内に仮想化ソリューションが存在するかどうかの確認を行わなくなり、対応するプロセス数およびそれらの名前を比較するメカニズムが変更され、設定ファイルの整合性を検証する機能が無くなりました。Trojan.MayachokはVBR （Volume Boot Record）を感染させるテクニックを用いる最初のトロイの木馬の1つですが、このテクニックはTrojan.Mayachok製作者によって開発されたものではなく、他のウイルス製作者から買われたものであることが後に判明しました。例えば、同様のコードがバンキングトロイの木馬 Trojan.Carberp内でも発見されています。