2013年1月30日

株式会社Doctor Web Pacific

Doctor Webは、新たなバックドアの大量拡散についてユーザーの皆様に警告します。BackDoor.Butirat.245と名付けられたこのプログラムは、コントロールサーバー名を作成する新しいメカニズムを使用しています。その目的は、コントロールサーバーの1つが閉鎖された場合でも出来るだけ長くマルウェアを動作可能な状態にしておくことであると考えられます。

BackDoor.Butiratファミリーに属するマルウェアは、コントロールサーバーから該当するコマンドを受け取った後、感染したシステム内に実行ファイルをダウンロードして実行し、ポピュラーなFTPクライアント（FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなど）からパスワードを盗むことが出来ます。

一方、これらのバックドアが使用する感染メカニズムは、システムファイル内に自身を複製し、Windowsが起動する度にそれらのコピーが自動実行されるようレジストリに変更を加えるという比較的一般的なものです。

サーバー名がプログラム内に埋め込まれていた従来のバージョンに対し、BackDoor.Butirat.245の注目すべき特徴は、コントロールサーバー名を作成するというこれまでにないメカニズムにあります。BackDoor.Butirat.245を解析したDoctor Webアナリストは、このプログラムがサードレベルドメイン名を自動的に作成するという事実に、先日発見されたBackDoor.BlackEnergyのケース同様、驚かされることになりました。続くセカンドレベルドメイン名は、いかなるリクエスト及びクレームも受け付けないという会社によって登録されていることが明らかになりました。ウイルス製作者達はこの手法によって、コントロールサーバーの1つが閉鎖された状況下での悪意のあるプログラムの活動停止を先延ばしにすることが出来ると目論んでいるようです。

Dr.Webのウイルスデータベースには既にBackDoor.Butirat.245 のシグネチャが追加されているため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。