スペインのPanda Softwareが,Windowsシステムに感染するトロイの木馬「Trj/Downloader.CYZ」について,米国時間8月30日に警告を発した。Trj/Downloader.CYZは感染したパソコンに複数の悪質なプログラムを仕込み,フィッシングやファーミング,情報窃盗などを試みるという。
Trj/Downloader.CYZはWindowsのぜい弱性を利用して,あるWebページにアクセスしてきたパソコンに感染する。同Webサイトには悪質なコードが隠された暗号化済みJavaScriptが仕掛けてあり,このコードがTrj/Downloader.CYZのダウンロードを行う。
パソコンに感染して起動すると,ほかのプロセスを終了したり遠隔実行スレッドを生成したりするため,Trj/Downloader.CYZはほかのプログラムよりもレベルの高いデバッグ権限を自ら付与する。権限付与に成功したら自分自身を%temp%\sstchst.exeとしてコピーし,元のファイルを消す。
sstchst.exeは,トロイの木馬「Trj/Banker/VY」「Trj/Dumarin.L」が入った2つのファイルfile1.exeとfile2.exeのダウンロードを試みる。その際ユーザーに察知されないようにするため,セキュリティ関連の警告を出すウィンドウを閉じてしまう。
フィッシングや情報窃盗などは,Trj/Banker/VYとTrj/Dumarin.Lが行う。動作の概要は以下の通り。
・Trj/Banker/VY:
自分自身をnbthlp.exeとしてシステムにコピーし,起動するたび実行されるようレジストリに登録する。ドメイン名とIPアドレスとの関係を登録するHOSTSファイルを改ざんし,ユーザーが銀行のWebサイトにアクセスしようとするとフィッシング・サイドに誘導する
・Trj/Dumarin.L:
「Trj/MiniLD.C」など別のマルウエアをシステムに組み込み,銀行口座,SkypeやMicrosoft PassportのID,Webメールの情報などを収集して外部に送信する
◎関連記事
■Zotobワーム作成・配布の容疑者2人をモロッコとトルコで逮捕,米FBIが発表
■米IMlogic,IMネットワークを狙うワーム「Tixanbot」と「Guapim」について警告
■「スパイウエアの技術が高度化,検出や削除を避けて企業パソコンに侵入」,米調査
■「キーロガーや偽URLなど,フィッシングの手口が悪質化」,APWG
■「特定の企業/組織をターゲットにしたセキュリティ攻撃が50%増加」,米IBM調査
■「過去1年で推定300万人の米国人がカード不正使用の被害に,総額は27億ドル超」,米調査
■パケット・フィルタリング機能を持つウイルス出現,パッチやパターンファイルのダウンロードを妨害
■「ウイルス作者の“プロ”化が進んでいる」——スペインPanda Software
[発表資料へ]