Symantec Security Response Weblog

Trojan Writer Lusts for Money from Affiliate」より
November 9,2007 Posted by Takashi Katsuki

 9月の始めころから筆者の日々の仕事には,頻繁に更新が行われているトロイの木馬「Trojan.Farfli」を調べる作業が加わった。その背景は,このトロイの木馬の作者が筆者の動きを見透かしたかのようにTrojan.Farfliを日々せっせと更新していることである。我々が確認したところ,Trojan.Farfliは平均すると1日3回のペースで更新されており,多いときは7回におよんだ。さらに7月から亜種の総数は300以上に達している。これに比べて,ほぼ同時期に検出された別のトロイの木馬は,圧倒的に亜種の数が少ない。例えば「Trojan.Hachilem」は150種類,「Trojan.Srizbi」は40種類しか亜種がない。厳密に言うと,Trojan.Farfliに作成されたファイルはポリモーフィック(関連記事:ITPro Dictionary「ポリモーフィック」)型であるため,その亜種は無数に存在する。

 作者はTrojan.Farfliをなぜそんなに頻繁に更新しているのか?実際のところ,正確な動機は不明だが,最も考えられる理由は金銭目的だ。感染したコンピュータは,作者のアフィリエイトIDが付いた状態で特定のWebサイトにアクセスし,アフィリエイト用トラッカのカウンタを増やすことになる。ユーザーの同意なしにコンピュータのリソースを拝借するこうしたプログラムは,ウイルス対策ソフト・ベンダーによって違法プログラムと定義されてしまう。このため作者はウイルス検出の手を逃れようと,Trojan.Farfliの亜種にさらに無意味なデータ(ジャンク・コード)を付加するのだ。これらのジャンク・コードはバラエティに富んでいる。例として一部を挙げよう。

・無意味なジャンク・データの追加
・不要なAPIの呼出し(例えば彼らはSleep()が大好きだ)
・呼び出し階層の変更
・不要なインライン・アセンブラ・コードの追加
・無意味なローカル変数の使用

 以下に,逆アセンブラ・ツール「IDA Pro Disassembler」を利用してTrojan.Farfliのコードの中からジャンク・コードが含まれるものと,ジャンク・コードを取り除いたものを比較したスクリーンショットを掲載する。図1では,赤色の長方形に囲まれた部分以外はすべてジャンク・コードである。


図1 ジャンク・コードが含まれているもの
[画像のクリックで拡大表示]

図2 ジャンク・コードが含まれていないもの
[画像のクリックで拡大表示]

 ジャンク・コードを追加することで,いくつかの副次的作用が生じる。以下の表で示すように,ファイル・サイズは20%増加し,経過時間は原種のほぼ2倍となる。さらに重要な点として,その処理時間は10倍以上に増大する。(機能を全く改善していないのに)リソースの占有率がこのように高くなるのは,通常のプログラムではありえないことだ。現在のような,高速化・高度化されたコンピュータと,広帯域化されたネットワークでは,作者はこの点を露ほども気にしていないのだろう。 

------------------------------------------------------
   日付        ファイル・サイズ 経過時間  処理時間
------------------------------------------------------
2007年7月28日        95.5Kバイト   15.5秒      0.01秒
------------------------------------------------------
2007年10月12日       120Kバイト    29.8秒      0.13秒
------------------------------------------------------

 この作者のアフィリエイトIDを検索エンジンで調べてみると,たくさんヒットする。これは,Trojan.Farfliに感染した多くのコンピュータによって検索が実行され,そのアクセス・ログが残されていることを意味する。作者がアフィリエイトによってどれくらいのお金を稼ぎ出したか知る術はないが,少なくはないと想像される。

 米シマンテックでは,Trojan.Farfliについて,数多くのサンプルを確認し,そのダウンロード・サイトを定期的に監視している。おそらく今後数カ月にわたって,さらに多くの亜種を目の当たりにするだろう。同社セキュリティ・レスポンスでは,顧客保護のため,この脅威に関して引き続き調査を進めていく。

Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Trojan Writer Lusts for Money from Affiliate」でお読みいただけます。