今回取り上げる「TROJ_ASPROX.P」(アスプロクス)は,トロイの木馬に分類される不正プログラムである。トロイの木馬とは,プログラムへの感染を行わない不正プログラムの総称である。以前は,実行後直ちに不正活動を行い,終了する単純なものが多かった。最近では,OSの設定を改変し何度も不正活動を行う複雑なものが増えている。侵入経路としては,Web上からダウンロードされるケースが増加している。昨今の不正プログラムの特徴として,その作成目的が金銭取得であることが挙げられる。このTROJ_ASPROXファミリーの場合は,次回取り上げる偽セキュリティ・ソフトウエアの押し売りが主な目的となっている。
TROJ_ASPROXに感染すると,感染コンピュータはTCP80番ポートを開いてプロキシ・サーバーとして活動する。攻撃者はTROJ_ASPROXに感染したマシンを踏み台として,Webアプリケーションの脆弱性を標的としたSQLインジェクションによるWebサイトの改ざんなどの攻撃を行うことが可能となる。実際に2008年7月中旬には,TROJ_ASPROXファミリーを使用したと思われる大規模な正規サイトの改ざんが発生している。
今回は,検証環境用に2台のマシンを用意した(図1)。テスト機1には,Windows XP SP2 をインストールし,TROJ_ASPROX.Pを実行した。今回の検証では遠隔操作するコンピュータは,Windows以外のOSでも遠隔操作が可能であることを示すため,テスト機2には,Mac OS Xを用意した。なお,テスト機2に搭載されているOSは,WindowsはもちろんLinuxやUnixなどのOSでも遠隔操作が可能であることを追記しておく。
検証のために,テスト機1にTROJ_ASPROX.Pというフォルダを作成し,TROJ_ASPROX.P本体である「aspimgr.exe」を実行した(図2)。しかし,実際にはユーザーがWeb閲覧中やスパムメールの本文にあるURLリンクをクリックするなど,ユーザーの意思とは無関係に自動的に実行されてしまうことが多い。
