By アンドリュー・ブラント / Andrew Brandt
ファースト パーソン シューティング ゲームの世界では、敵の頭に最も多く弾を撃ち込むことが重要な目標となっています。ヘッドショットを行うと、撃たれた敵のアバターはゲームから即座に消えます。事実上どのシューティング ゲームでもヘッドショットは敵を倒す最も手っ取り早い方法なので、現在感染が広がっているマルウェアのファイル名は異彩を放っています。
yogetheadshot.php.exe (VT) という名前のこのファイルはドロッパーで、PC を攻撃して他のマルウェアを PC 全体にばらまくように設計された見せかけのバケットです。他のドロッパーはペイロードをいくつか残していくくらいですが、このドロッパーはテストベッド PC をマルウェア ヘッドショットで完全に破壊します。異常なほどあからさまに感染を広げていく様はマルウェア感染の社会通念に挑戦しているかのようで、その行為を隠したり目立たなくしたりする気はまったくないようでした。
テスト システムをドライブバイ ダウンロード サイトに攻撃させて記録したネットワーク トラフィックから抽出されたファイルは、いくつかの実行可能ペイロードの 1 つにすぎませんでした。また、これらのペイロードは、このドライブバイをホストしているドメインから配信されていました。
しかし、この単独のドロッパーは、初老の Windows XP パソコンに最後の一撃を加える以上の力がありました。最初にこのドロッパーが出現したのは 9 月 7 日ですが、それ以来感染を広げています。
(9 月 22 日更新: このドロッパーを実行するとシステムはどうなるのか、以下の動画でご覧になれます。ドロッパーは画面の左上付近にあります。画面の残りの部分は Process Explorer が占めています。Process Explorer では、ドロッパーが配布するペイロードの数を確認できます)
最初の 2 秒間で Trojan-Dropper-Headshot は、4 つの .exe ファイルを Temp フォルダーにドロップし、実行します。
次の瞬間には、さらに 4 つの実行可能ファイルが稼働し、rundll32 は同じ場所にある .tmp 拡張子を持つファイルを読み込みます。続いて、さらに 2 つのファイルが読み込まれ、2 つのペイロードがドロップされ、Windows System Backup Dumper (winbudump.exe) というサービスが起動します。1 秒後、最後の 2 つの実行可能ファイルが Temp フォルダーから起動され、8 秒後には合計 15 のペイロードが組み込まれています。
ペイロードの 1 つは Desktop Cleanup Wizard と称していますが、同名の Windows システム ツールとは似ても似つかないものです。これは 2 つの Run キー (「acronis toolbar helper」と「desktop cleanup wizard」) をレジストリに作成します。どちらも現在のログイン ユーザーのローカル設定フォルダーにあるファイル \Application Data\Desktop Cleanup Wizard\dskclnwiz.dll を指しています。また、このファイルは、software\microsoft\amnesiac の下の HKLM ハイブと HKCU ハイブにもレジストリ キーを作成します。
ペイローダーのいくつかは、広告クリッカーやダウンローダーです。広告クリッカー Trojan-Clicker-Vesloruki は Follower (fFollower.exe) というサービスを作成します。このサービスは DLL をドロップし、稼働中のシステム プロセスの 1 つをすぐにフックします。このクリッカーは、読み込まれるとすぐにいくつものポルノサイトにバックグラウンドでアクセスし、ネットワーク トラフィックをほぼ停止させます。このプログラムはストリング内で「klikiRandomizer」を参照しています。
これは、TDSS ダウンローダーのドライブバイ ダウンロードを配布するサイトの 1 つです。
別のコンポーネントは、Symantec Ghost ディスク イメージング アプリケーションの RemoteCommand Module と呼ばれるもののファイル プロパティを模倣しています。
Headshot がドロップした別のダウンローダー、Trojan-Downloader-Ncahp は、指揮管理サーバーの指示に応じて少なくとも 4 つのペイロードを作成します。作成されるペイロードの 1 つは常に、悪名高いパスワード スティーラーの Trojan-Backdoor-Zbot です。このダウンローダーは、bigpayinfos.com、glures.com、solaruploaderz.com、bestviewbars.com、autouploaders.net、promotds.com など、不正行為目的で使用されていることがわかっている多数のドメインにアクセスします。
言うまでもありませんが、感染して数分でシステムはマルウェアに完全に乗っ取られ、40 以上の実行可能なプログラムがシステム上で実行されます。自分の仕事が終わったら終了する (自己削除する) プログラムもあれば、ずっと活動を続けるプログラムもあります。
悪意のあるプログラムをすべて解析するには、何日かかかるでしょう。テストベッド PC から取得したマルウェアの事後検査では、Worm-Koobface、Trojan-Downloader-Ncahp、Trojan-Clicker-Vesloruki、Trojan-Backdoor-Zbot、Trojan-Pushu、Trojan-Agent-TDSS が確認されています。ウェブルートは、Adware-DiskClean と Trojan-Agent-Dump の 2 つのペイロードに対応する新しい定義ファイルを作成しました。また、Headshot ドロッパーに対応する新しい定義ファイルも完成しています。ペイロード ファイルのいくつかは、分類するにはあまりに典型的です。これらのファイルは、Windows ファイアウォールを変更するなど、わずかな変更で Trojan-Agent.gen と Trojan.gen を組み込みます。
ウェブルート ブログ 日本版 