2015年3月20日

株式会社Doctor Web Pacific

Doctor Webでは、Windowsを搭載するコンピューターを標的とする危険なトロイの木馬についての分析を行いました。BackDoor.Yebotと名付けられたこの悪意のあるプログラムは感染させたコンピューター上で幅広い動作を行うことができます。中でも特に、自身のFTPサーバーやプロキシサーバーを動作させ、犯罪者のコマンドに従って様々な情報を検索し、感染させたコンピューター上のキーストロークを記録し、スクリーンショットやそのほか多くの情報をリモートサーバーに送信します。

BackDoor.Yebotは、Trojan.Siggen6.31836としてDr.Webウイルスデータベースに追加されたまた別のマルウェアによって拡散されています。コンピューター上で起動されると、この悪意のあるアプリケーションは自身のコードをsvchost.exe、csrss.exe、lsass.exe、explorer.exeプロセス内に挿入します。該当するリクエストをリモートサーバーに送信した後、BackDoor.Yebotをダウンロードした上で復号化します。続けてBackDoor.Yebotをコンピューターメモリ内に置き、コントロールを移譲します。Trojan.Siggen6.31836の一部の機能は暗号化されています（トロイの木馬の起動時にのみ復号化することができます。このアクションを実行するためにトロイの木馬はメモリを使用しますが、それらのメモリは機能コードの実行時に自動的に開放されます）。また、このマルウェアは標的とするシステム上の仮想マシンの存在を確認し、ユーザーアカウント制御を回避する機能を備えています。

BackDoor.Yebotは以下の動作を実行することができます：

• 感染させたコンピューター上でFTPサーバーを動作させる
• 感染させたコンピューター上でSOCKS 5プロキシサーバーを動作させる
• 感染させたコンピューターへのアクセスを可能にするためにRDPプロトコルを変える
• 感染させたコンピューターのキーボードに入力されたキーストロークを記録する（キーロギング）
• ネットワークがNAT を使用していた場合、感染したコンピューターでFTP、RDP、Socks5のフィードバックを設定する（コネクトバック）
• PCRE パターンのデータを傍受する―PCRE （Perl互換正規表現）はPerlと互換性のある正規表現を実装したライブラリであることから、このトロイの木馬はインターネットの動作に関連する全ての機能を傍受することが可能です。
• SCard トークンを盗む
• ユーザーがブラウザウィンドウで開いたページ内に任意のコンテンツを埋め込む（webインジェクション）
• 受け取った設定ファイルに応じて、様々なシステム機能を傍受する
• 受け取った設定ファイルに応じて、動作中のプロセスのコードを改変する
• 様々な機能モジュール（プラグイン）と連携する
• スクリーンショットを撮る
• 感染させたシステム内でプライベートキーを探す

BackDoor.YebotはC&Cサーバーとのデータのやり取りに標準的なHTTPプロトコルのほか独自のバイナリプロトコルを使用します。また、C&Cサーバーはパラノイド設定を使用しています（例：リクエストが正しくない場合や1つのIPアドレスから送られたリクエストが多すぎる場合はそのIPアドレスをブラックリストに加えるなど）。

Doctor WebのスペシャリストはBackDoor.Yebotがバンキングトロイの木馬として利用される可能性について危惧しています。幅広い動作を実行し様々な追加のモジュールと連携するこのトロイの木馬は、それだけの十分な多機能性を有しています。Dr.WebウイルスデータベースにはBackDoor.YebotおよびTrojan.Siggen6.31836のシグネチャが既に追加されているため、Dr.Webによって保護されるコンピューターに危害が及ぶことはありません。