寄稿: 篠塚大志
マルウェアの作成者は、より巧妙な手口を求めて常に新しい方法を模索しています。サイバー犯罪者の前にはシマンテック保護技術がいくつも立ちふさがり、ユーザーのセキュリティ意識も高くなっているため、彼らの攻撃が成功することはますます難しくなってきました。
最近の調査で、シマンテックは Word13.exe という変わった名前のサンプルを発見しました。外見だけからすると、デジタル署名された Adobe 社製のファイルのように見えます。
図 1. Adobe 社の署名の付いた Word13.exe ファイル
図 2.偽のデジタル署名のプロパティ
しかし、よく調べてみると、実に興味深い点に気づきます。
図 3.偽の署名と証明書
これが偽物であることは、[発行者]フィールドに「Adobe Systems Incorporated」と書かれていることでわかります。Adobe 社は VeriSign 製品の顧客だからです。また、証明書の情報を見ると、CA ルート証明書を信頼できないこともわかり、これも決定的な証拠になります。
図 4. Adobe 社の正規の署名と証明書
シマンテックは、このファイルに対する保護対策を提供しており、Backdoor.Trojanとして検出します。
Backdoor.Trojan は、自身を実行して iexplore.exe または notepad.exe にインジェクトし、バックドア機能を開始します。
作成される可能性があるファイルは、以下のとおりです。
- %UserProfile%\Application Data\ aobecaps \cap.dll
- %UserProfile%\Application Data\ aobecaps \mps.dll
- %UserProfile%\Application Data\ aobecaps \db.dat
また、ポート 3337 で以下のコマンド & コントロール(C&C)サーバーに接続します。
- Icet****ach.com
そのうえで、このトロイの木馬は以下の処理を実行する可能性があります。
- ユーザーとコンピュータの情報を盗み出す
- フォルダを作成する
- ファイルを作成、ダウンロード、削除、移動、検索、実行する
- スクリーンショットを取得する
- マウス機能をエミュレートする
- Skype 情報を盗み出す
このマルウェアの被害を受けないように、ウイルス対策定義を常に最新の状態に保ち、ソフトウェアも定期的に更新するようにしてください。ダウンロードの URL が提示された場合には、必ずその URL を再確認し、必要に応じて念のために証明書と署名を確認してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。