Symantec Security Response Weblog
The Trick Behind the Scenes 」より
May 15,2009 Posted by Security Response China

 インターネット・ユーザーの間でオンライン・ゲームに対する人気が高まっている。新たなサービスも登場してきた。こうした新サービスの中には,オーソライズされていない企業が提供する無料ゲームなども含まれている。無料でプレイできるうえ,プレーヤは簡単に収入を得たりゲーム用アイテムを入手したりできる。ところがこの種の「非公式」ゲーム・サービスは信頼できる団体による検査や承認を受けておらず,プレーヤの入力した情報が安全に守られているかどうかなど全く分からない。このサービス用のアプリケーションがプレーヤのパソコンに脅威をもたらす可能性もある。我々は先日,プレーヤのログイン情報を盗む新たな手口を発見した。金銭目当ての行為であり,盗まれた情報はアンダーグラウンド市場で売られかねない。

 問題のマルウエアを作った人物は,怪しいゲーム・サイトにログインするための実行ファイルに「Infostealer.Gampass」を仕込んでいた。ユーザーがこのファイルのアイコンをクリックして実行すると,Infostealer.Gampassと本物のログイン・ウィンドウの両方が動き出す。パソコンがマルウエアに感染すると,ユーザーはログインの際に,ウィンドウの表示にかかる時間が長くなったように感じるかもしれない。もっとも,ゲーム・システムの速度が低下したかハードウエアに障害が発生していると考える程度で,異常だとは思わないだろう。ところが実際にはInfostealer.Gampassが動いていて,ログイン用IDとパスワードを盗もうと待ち構えている。

 この悪質なログイン用ファイル実行直後のスクリーンショットを以下に示す。図1はユーザーが実行ファイルをクリックする前の状態で,ファイル用アイコンは一つしかない。ところがユーザーがアイコンをクリックしてゲームを始めると,ファイル実行後すぐ同じフォルダに不思議なファイルが現れる(図2)。これはInfostealer.Gampassがダウンロードしたファイルで,ユーザーのログイン情報不正取得に使われる。

図1●実行ファイルをクリックする前

図2●実行ファイルをクリックすると不思議なファイルが出現

 さらにこのファイルは,感染したパソコンに全く痕跡を残さずに消えてしまう。ログイン・ウィンドウが表示される前に,フォルダから完全に削除される。ユーザーはゲームの起動中にフォルダの状態などをいちいち見張っていないので,マルウエアに気付くことなどあまりない。

 図3で青く強調表示した「.dat」ファイルが,問題のフォルダからファイルを削除している。

図3●不審なファイルを削除するファイル

 ただしファイルがフォルダから削除されても,感染パソコンから消えたわけではない。通常Infostealer.Gampassは自らバックアップを取ってGIF画像ファイルに偽装し,パソコン内にとどまる。偽装したファイルは「hji2k2b.gif」に見えるが,本当のファイル名は「hji2k2b.gif.exe」だ。こうすることで,Infostealer.Gampassはこれ以降もゲーム起動時に活動できる。

図4●GIFファイルに偽装したInfostealer.Gampass

 その上「.dll」ファイルにも姿を変え,システム用ファイルに偽装する。その結果,ユーザーが感染パソコンを再起動すると,この.dllファイルもすぐに動き出してゲーム用ログイン情報を盗む準備が整う。

図5●システム用ファイルに偽装

 最近のマルウエア作者は,あらゆる手口を試みるようになってきた。獲物のパソコンに侵入して情報を盗むために,予想外の手段も使うだろう。米シマンテックでは,怪しいファイルは実行前に必ず最新の状態にアップデートしたウイルス対策ソフトで検査することを推奨する。

注記:このマルウエアを解析してくれたXie Xiaojun氏に感謝する。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「The Trick Behind the Scenes 」でお読みいただけます。