2015年6月3日
株式会社Doctor Web Pacific
Trojan.Proxy.27552の特異な点はインストールの段階で既に見られます。このトロイの木馬はC:\Windows\System32システムフォルダ内にcsrss.exe、 svchost.exe、 rundll32.exeという名前で自身のコピーを作成しますが、フォルダには既にオリジナルのcsrss.exeファイルが存在しています。そこでトロイの木馬はシステムメモリ内でcsrss.exe プロセスの検索を実行し、その強制終了を試みます。トロイの木馬が必要な管理者権限とデバッグ権限を取得していた場合、このプロセスの終了によってBSOD(ブルースクリーン)が引き起こされます。
Windowsをクラッシュさせることが出来なかった場合、Trojan.Proxy.27552は%APPDATA%フォルダ内にcsrss.exe、 svchost.exe、 rundll32.exe という名前で3つのファイルを作成し、それらが自動実行されるようシステムレジストリを改変します。感染させたコンピューターのOSがWindows XPであった場合、トロイの木馬は<SYSTEM32>\rundll32.exe内に悪意のあるコードを挿入しますが、ユーザーはSFCユーティリティを使用することで破損したファイルや失われたファイルを復元することが可能です。このツールはバックアップコピーからオリジナルのファイルを復元するものです。トロイの木馬によって作成された3つのアプリケーションは、システムの次の起動時に自動的に起動します。
起動したTrojan.Proxy.27552はsmtp.gmail.com:25およびplus.smtp.mail.yahoo.com:25サーバーに接続することで、システム上でインターネット接続が確立されているかどうかを確認します。インターネットに接続されていなかった場合、トロイの木馬は動作を終了しますが、接続が確認された場合はリモートホストに対してリクエストを送信し、C&CサーバーのIPアドレスを含んだリストを受け取ります。Trojan.Proxy.27552は受け取った複数のリストを比較することでローカルネットワークアドレスを除外し、最終的にC&Cサーバーのリストを作成します。この情報は、トロイの木馬によってデータの保存先として使用されるWindowsシステムレジストリ内に保存されます。
Trojan.Proxy.27552はC&Cサーバーのリストを定期的にアップデートし、トロイの木馬の自動起動を司るレジストリブランチのステータスを監視(および必要に応じてエラーを修正)するほか、コネクトバック通信のプロキシサーバーとしても機能します。C&Cサーバーへの接続は、指定された一定の期間、感染したシステムに接続を維持させる形で実行されます。
Trojan.Proxy.27552の主な目的はリモートスパムサーバーとの連携によるスパムメッセージの配信です。このトロイの木馬によって送信されたメッセージに含まれたリンク先で、ユーザーはハッキングされたWebサイトへとリダレクトされます。例えば、メッセージに含まれていたアドレスがごく普通のインターネットリソースのものであった場合・・・ユーザーは全く別のWebページへとリダレクトされます。
Dr.WebウイルスデータベースにはTrojan.Proxy.27552のシグネチャが既に追加されているため、Dr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments