Civilization V のトレント ボーナスは野蛮なマルウェア


By アンドリュー・ブラント / Andrew Brandt


ファン待望のリアルタイム シミュレーション ゲーム Civilization V はリリースされたばかりですが、既に海賊版がファイル共有サービスに登場しています。また、予想していたとおり、このゲームの海賊版の一部には悪意のあるスペシャル コンポーネントが組み込まれています。

金曜の朝、たまたま熱心なゲーマーでもあるウェブルートの脅威調査アナリストの 1 人がこのゲームの海賊版を探し始めたところ、5 分もしないうちに一部のトレントにトロイの木馬が仕込まれているのを見つけました。私はこれらのファイルの 1 つを重点的に調べることにしました。私たちが最初に発見したというだけでなく、最も興味深いものでもあったからです。このトロイの木馬は read me before burn.exe (MD5: 2f7ff2ecef4b5cf1c9679f79d9b72518) と呼ばれるもので、Civilization V インストール ディスクの ISO イメージのトレントに組み込まれています。

通常の Windows システム上ではこのファイルはテキスト ドキュメントのように見えますが、それはテキスト ドキュメントのファイル アイコンが使用されているからにすぎません。ファイル拡張子を表示すると、何らかの使命を持つ .exe であることが明らかになります。

このドロッパー ファイルが興味深い理由は他にもあります。昨夜の時点ではこのファイルは VirusTotal で検出されませんでした。つまり、他のウイルス対策会社はまだこのファイルをシステムに登録していなかったということです。

read me ドロッパーは、my-slide-show-picture.exe (MD5: 6cf871199432f0dd9a669427f58155db) というプログラムをログイン ユーザーの Application Data\Microsoft フォルダーにドロップし、再起動時に slide-show が起動されるように Run キーを (値 window update で) 書き込み、終了します。

興味深いのは次の部分です。slide-show は実行されるたびに別のペイロード (パスワード スティーラー) のソース コード全体を感染したコンピューターに書き込みます。その後、ドロップしたソース コードを Visual Basic コンパイラーを使用してコンパイルし、ランダムな 8 文字から成るファイル名でサイズが正確に 136,192 バイトのプログラムを作成します。この処理は、コンピューターが slide-show を実行するたび、つまり最初の実行時とコンピューターが再起動されるたびに行われ、静的な MD5 ハッシュに依存するコンパイル済みペイロードのウイルス検出を突破します。

次に、このマルウェアの間抜けなトリック部分です。slide-show はソース コードを書き込みますが、このコードはすべて base64 でエンコードされたテキストとして slide-show に埋め込まれているため、だれでもすべてのコードを読むことができます。つまり、ファイルをテキスト エディターで開く以外に何もしなくても、世界中のマルウェア アナリストはプログラムのすべての機能を知ることができます。

フランス語で非常に詳細なコメントが多数書き込まれているため、元のソースはフランス語を母国語とする人物が記述したものと思われます。この親切なマルウェア開発者はどうやら Albert という名前のようですが、mot de passe (パスワード) や ecrivant un compte MSN Messenger (MSN Messenger アカウントを書く) のようなコメントをファイル全体にちりばめ、処理内容について役立つヒントを与えてくれています。

長い間、大学でフランス語を学んだことはマルウェア分析の仕事では何の役にも立たないと思ってきましたが、Albert のおかげで無駄にならずに済みました。

また、このパスワード スティーラー コンポーネントは独立した 9 個のコンポーネントで構築され、各コンポーネントの異なる機能が最終コンポーネントに追加されていることがわかりました。これらの機能には、MSN Messenger のパスワード、Windows の保護された記憶域に保存されたパスワード、Mozilla Firefox のパスワード記憶域に保存されたパスワード、その他の場所に保存されたパスワードを盗み出すという機能が含まれます。このファイルは盗み出した情報を連結し、指揮管理サーバーにアップロードできるのを楽しみに待っています。このサーバーは、No-IP ダイナミック DNS サービスが管理する 2 つのサブドメインに割り当てられています。この記事を書いている時点では、ペイロードが接続しようとする IP アドレスはオフラインになっており、アカウントも停止されています。

ウェブルートは、「slide-show」と「read me」の検出を定義ファイルに追加しました。後は、海賊志望者たちがこのゲームの海賊版の配布をやめるのか、または Albert が大量の認証情報を盗み出すのかを見届けるだけです。それは来週にはわかると思います。

wordpress blog stats

One Trackback/Pingback

  1. […] ただし、Blizzard のゲーム プレイヤーはオーセンティケーターのおかげでフィッシングの被害に遭うリスクを減らすことができますが、多人数同時参加型ゲームはフィッシング ページやマルウェアの最大のターゲットとなっています。この種のゲームを運用する他の会社も窃盗のターゲットとなっているのですが、Blizzard のような安全なログイン認証方法はまだ提供されていません。 […]