Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

電話

+7 (495) 789-45-86

フォーラム(英語)
Profile

ニュース一覧に戻る

Doctor Web、望まないソフトウェアと削除できない広告をインストールするトロイの木馬を発見

2016年12月16日

株式会社Doctor Web Pacific


他のプログラムを密かにインストールするよう設計された悪意のあるプログラムは、ウイルス開発者の間で非常に高い人気を集めています。インターネット上には、サイバー犯罪者たちがソフトウェアのダウンロードによって収益を得ることを可能にする、いわゆるアフィリエイト・プログラムが存在します。2016年12月、そのようなダウンローダ型トロイの木馬の1つである Trojan.Ticno.1537 がDoctor Webのスペシャリストによって発見されました。

Trojan.Ticno.1537 は、別のマルウェアプログラムによってコンピューター上にダウンロードされます。 起動されると、動作中のプロセス名とWindowsシステムレジストリ内の該当するブランチをチェックすることで、仮想環境とデバッグツールが存在するかどうかを確認します。また、プロダクトID、ユーザーおよびコンピューター名、Program Files内にネストされたフォルダの数、BIOSメーカー名を取得し、動作中のプロセスにperl.exeまたはpython.exeが存在するかどうかを確認します。プロセスのスキャンに成功すると、トロイの木馬はExplorerを起動させた後、動作を終了します。

何も問題が見つからなかった場合、 Trojan.Ticno.1537 は1.zipと名付けられたファイルをディスク上に保存します。

#drweb

上の画像はMicrosoft Windowsの標準的な「保存」ダイアログボックスではありません。左下に「Additional settings(追加設定)」リンクがあります。このリンクをクリックすると、 Trojan.Ticno.1537 がコンピューター上にインストールするプログラムのリストが表示されます:

#drweb

ユーザーが「Save(保存)」をクリックしてしまうと、 Trojan.Ticno.1537 によってそれらのプログラムがダウンロード・インストールされます。

Trojan.Ticno.1537 によってインストールされるプログラムにはAmigoブラウザ、Mail.Ru によって開発されたHomeSearch@Mail.ruプログラム、そしてトロイの木馬である Trojan.ChromePatch.1Trojan.Ticno.1548Trojan.BPlug.1590Trojan.Triosir.718Trojan.Clickmein.1Adware.Plugin.1400があります。

上記 Trojan.ChromePatch.1 は、TrayCalendarアプリケーションによって拡散されるアドウェアで、2002年に作成されています。このプログラムとトロイの木馬は1つのインストールパッケージ内に含まれています。

#drweb

TrayCalendarがディスク上にコピーされている間に、 Trojan.ChromePatch.1 によってGoogle Chrome拡張機能が保存され、インストールされます。 Trojan.ChromePatch.1 の最も注目すべき特徴はChromeリソースファイルresources.pakを感染させるというものです。この手法は、トロイの木馬が削除された後も強制的に広告を表示させることができるよう、2015年の春からサイバー犯罪者によって用いられているものです。 Trojan.ChromePatch.1 はコメントを含んだストリングをresources.pak内で探し、それを自身のコードと置き換えるため、感染過程においてこのファイルのサイズに変化はありません。 Trojan.ChromePatch.1 はChromeブラウザ内に広告を表示させるよう設計されています。

Dr.Web Anti-virusは上記トロイの木馬を全て検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F