McAfee Avert Labs Blog
More Than a Toolbar」より
August 19,2008 Posted by Di Tian

 当社のある顧客がサンプル・ファイルを送ってくれた。ファイル名「ToolbarSetup.exe」から判断すると,ツールバーのインストーラのように思える。このファイルを実行したら,米eBayの提供しているツールバーの使用許諾契約書(EULA:End User License Agreement)が表示され,インストール用画面が現れた。そして,当然eBayのツールバーがインストールされた。

 ところが,インストール途中で少々おかしなことに気付いた。このインストーラは「2ebaytoolbarsetup.exe」プロセスだけでなく,「wscript.exe」プロセスを生成し,「.vbs」ファイルを動かしていたのだ。ツールバーのインストール処理にしては珍しい動作である。そこで,インストーラ関係のファイルをすべて調べたところ,変わったものを見つけた。まともなeBayツールバー用コンポーネントが数十個ある中に,「startup.exe」というファイルが入っていた。ツールバー用コンポーネントと違い,そのファイルにはバージョン情報が記載されていない。テスト環境でそのファイルを実行したら,バッチ・ファイルとVisual Basckのスクリプト・ファイル(.vbsファイル)が生成された。その.vbsファイルの一つが次のものだ。

[画像のクリックで拡大表示]

 この.vbsファイルは,ターミナル・サービス用として初期設定されている3389番TCPポートをこっそり開く。そして,Administrator権限を持つ新しいユーザー・アカウント「eBayMember」を作り,ツールバーをインストールしようとしたパソコンに外部からアクセスできるようにする。eBayMemberアカウントはログイン画面に表示されないので,被害者は感染に気付かない。

 同.vbsファイルに定義されたユーザー・アカウントとパスワードを使えば,感染パソコンに遠隔アクセスする際の認証をパスできる。その様子を以下に示そう。まんまとログインされると,遠くにいる攻撃者からパソコンを自由に操られてしまう。

[画像のクリックで拡大表示]

 これでも,信頼できないWebサイトからツールバーをダウンロードしてインストールすることが安全と考えられるだろうか。攻撃者は,安全と思う気持ちにつけ込む。


Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「More Than a Toolbar」でお読みいただけます。