2015年4月7日

株式会社Doctor Web Pacific

Doctor Webでは、感染させたデバイス上で犯罪者から受け取ったコマンドを実行し、様々な情報を盗む新たなマルウェアの検体について解析を行いました。このトロイの木馬は、主に防衛関係の企業から成るロシア最大のグループ企業を標的としたものでした。

BackDoor.Hser.1と名付けられたこのバックドアはEメールを介して拡散され、有名なロシアのグループ企業に属する10を超える防衛関係または軍産共同体の従業員の個人または会社用アドレスに対して送信されていました。メッセージは企業本社からのものを装い、「Дополнение к срочному поручению от 30.03.15 № УТ-103（2015年3月30日付け緊急課題の追加事項）」という件名が付けられていました。また、メッセージにはоборудование 2015.xls（装備品のコピー 2015.xls）と名付けられたExcel ファイルが添付されています。

このファイルには一部のMicrosoft Excelに存在する脆弱性CVE2012-0158を悪用するエクスプロイトが含まれていました。感染したコンピューター上でファイルが開かれると、トロイの木馬のドロッパーが組み込まれたexcel.exeプロセスが起動します。

ドロッパーはバックドアBackDoor.Hser.1を解凍し、npkim.dllという名前でディスク上のC:\Windows\Tasks\ フォルダ内に保存します。続けてこのライブラリをWindows自動実行パラメータに登録し、cmd.exeコマンドインタープリタを起動してexcel.exeプロセスを停止させます。

BackDoor.Hser.1は起動されるとボディ内に保存されたC&Cサーバーアドレスを復号化し、そのサーバーとの接続を確立します。次に、感染させたコンピューターに関する情報（コンピューターIPアドレス、名前、OSバージョン、ネットワーク内のプロキシサーバーの有無）を犯罪者に送信し、サーバーからのコマンドを待ちます。また、このトロイの木馬はコマンドに従って感染したコンピューター上で動作中のプロセス一覧をリモートサーバーに送信、別の悪意のあるアプリケーションをダウンロード・起動、コマンドコンソールを開いて犯罪者のサーバーへの入出力リダイレクションを実行する機能を備えていることから、犯罪者は感染したコンピューターをコントロールすることが可能になります。

Dr.WebウイルスデータベースにはBackDoor.Hser.1のシグネチャが既に追加されているため、Dr.Webアンチウイルスソフトウェアのユーザーに危害が及ぶことはありません。最新のアンチウイルスソフトウェアをインストールし、ウイルスデータベースを更新することがいかに重要であるかということを忘れないようにしてください。