McAfee Avert Labs Blog
Trojan Bundles Legit Social-Network Toolbar with Backdoor」より
February 10,2009 Posted by Dennis Elser

 当記事では,特定地域を狙う攻撃の例を紹介する。悪事と無関係なドイツ系ソーシャル・ネットワーク「StudiVZ」用ツールバーのインストーラを装ってバックドア「Backdoor-CEP」の亜種を仕掛ける新たなトロイの木馬が広まっている。このバックドアは,さまざま悪事を働くとともに,ユーザーの使っているパソコン画面のスクリーンショットを取得・保存し,キー入力を記録する。一見したところ,この改造版インストーラは無害に思える。というのも,ある種のセキュリティ製品の存在を検出するか,サンドボックス内やデバッガ上で動かされていて監視対象になっている可能性があると判断すると,全く悪さをしないからだ。

 こうした隠ぺい工作の陰で,不正な行為が大量に行われている。このインストーラが動き出すと,内蔵している攻撃用コードをその時点で実行中のプロセスに挿入したり,停止中の無害なプロセスを実行させたりする。そして,自らのコードとプロセスのマッピングを解除し,別の攻撃用コードをプロセスにマッピングし直してから,同プロセスを再開する。この攻撃用コードは暗号化されていて,挿入時に復号するだけでハード・ディスクに書き込まないため,検出されにくい。

怪しいプロセスを作る同バックドアの逆アセンブル結果

 このツールバー用インストーラは,動作を終えるとWebブラウザ「Internet Explorer(IE)」のインスタンスを自動実行し,上記ソーシャル・ネットワークのログイン・サイト「http://studivz.net」にアクセスさせる。IEにツールバーがインストールされ,上部に新たなボタンとロゴが追加される。こうなればユーザーは,十中八九このソーシャル・ネットワークにログインするだろう。

 この時点で,バックドアはメモリー上にある実行中のプロセスに大量感染しており,キー入力を漏れなく取得/保存するためのコールバック関数も設定済みだ。

バックドアのキー入力取得/保存コードの一部

 今回のBackdoor-CEPの亜種を作った人物は,StudiVZユーザーのログイン情報に高い関心を持っているらしい。さらに,このトロイの木馬は,ドイツでホスティングされているサーバーと定期的に通信しようとする。ただし,米マカフィーのセキュリティ製品を使っていれば,「Artemis」(関連記事:McAfeeが新セキュリティ技術を発表,シグネチャ・ファイル無しで新しい脅威に対応)と(同社が買収した米Secure Computingの)「Web Gateway」(関連記事:McAfee,ネットセキュリティのSecure Computingを買収へ)でこの悪質なインストーラをブロックできる。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Trojan Bundles Legit Social-Network Toolbar with Backdoor」でお読みいただけます。