クラッキングされたトロイの木馬、犯罪者予備軍に感染


By アンドリュー・ブラント / Andrew Brandt


これは 9 月のブログ投稿の傾向のようなのですが、調査チームは偶然、悪事をたくらむ犯罪者的な心理の持ち主向けのプログラムを発見しました。

問題のプログラムは ZombieM Bot Builder と呼ばれるもので、トロイの木馬を拡散してボットネット (1 つのエンティティとして動作する、感染したコンピューターの集合体) を構築しようとする正直な市民が使用します。このプログラムの作者は Arhack というアルゼンチン人のグループで、このプログラムを 180 ユーロで販売しています。ですが、Arhack は Visa を扱っていないので、盗んだクレジット カードを用意する必要はありません。彼らは Western Union の送金経由でのみ、このがらくたを販売します。

ところで、このボット ジェネレーターの古いバージョンの 1.0最新バージョンの 2.0 の両方をクラッキングした何者かが、180 ユーロの使用料を出し惜しむけちな他の犯罪者向けに、このプログラムをオンライン上にポストしています。クラッキングされたバージョンでは、プログラムのすべての機能を使用して、ユーザー名やパスワードをカスタマイズせずにボットを生成し、ボットネットを管理できます (通常はプログラムを起動するためにカスタマイズが必要です)。

しかし、問題があります。クラッキングされたバージョンを起動すると、別種ですがやはり悪質なボットネット作成型トロイの木馬 Trojan-Backdoor-PoisonIvy もインストールされるのです。トロイの木馬の裏切り三連単というわけです。

なかなか笑えますよね。

ほとんどの PoisonIvy 感染と同様、ペイロードはユーザーの Temp フォルダーにある小さな実行可能ファイルです。今回の場合、8704 バイトの PoisonIvy ペイロードが定期的に m41k00l.no-ip.biz にアクセスします。これは、ダイナミック DNS サービスで使用されているアドレスです。現在のところ、このドメインが指す IP アドレスは、コロンビアのボゴタにあるケーブル ブロードバンド ISP に属しています。

既にこの PoisonIvy サンプルの検出はウェブルートの定義ファイルに追加されていますが、犯罪者のみをターゲットとするトロイの木馬を削除して、良いことをした気分になるのは難しいと言わざるを得ません。

Arhack が ZombieMBot に対して主張している権利をご覧ください。気になる点があります。このボットの Web ページでは、このトロイの木馬はピアツーピア ファイル共有ネットワーク、MSN messenger、リムーバブル メディアを通して自分自身を拡散し、ワームのようにネットワーク上で増殖できると主張しています。

また、このプログラムの「About」ダイアログでは、このプログラムはリモート管理の目的で管理者が使用するためのただのツールであると説明しています。トロイの木馬の作者たちが自分たちを「Arhack」と称して不正コードを Web サイト troyanosyvirus.com (スペイン語で「トロイの木馬とウイルス」) でホストしているのを見て、このダイアログのコードを書いた人物が真顔でいるのは難しいことでしょう。

この Web サイトでは、互換性やシステム要件まで記載されています。

大きな危険は、このトロイの木馬作成ツールで作成される製品は誰でもダウンロードして使用できる、オープンで自由なものであるということです。このようなトロイの木馬に感染したユーザーにとって幸運なことに、このツールで構築可能なトロイの木馬はとても原始的なものなので、このプロジェクトに携わっている研究者なら 1 時間で検出定義をウェブルートのマルウェア対策エンジンに組み込み、ツールによって生成された ZombieMBot 実行可能ファイルを検出可能にできます。

その一方で、アルゼンチンの法執行機関に携わる誰かが監視の目を向けているとしたら、Arhack に少し興味を惹かれませんか。昨年、アルゼンチンは、コンピューターを使用した不正行為によって被害を受けている、上位 20 か国にランクされています。Arhack が誰にも気付かれずオープンにビジネスを展開できるとは思えません。

wordpress blog stats