WoW パッチでマルウェア トロルが登場


By アンドリュー・ブラント / Andrew Brandt

先週、Activision Blizzard は大人気ゲーム World of Warcraft (WoW) の待望のパッチをリリースしました。私自身はこのゲームをプレイしませんが、同僚の脅威研究者の多くはプレイしており、不正行為がないか目を光らせていました。Curtis Fechner がすごいものを見つけました。

今回のアップデートでは、ゲーム内の多数のコア システムが大々的にオーバーホールされており、グラフィック エンジン、ゲームのルール、プレイヤーの能力、さらにはインターフェイスにまで影響が及んでいます。多くのプレイヤーが、ユーザー作成のアドオンをダウンロードしてユーザー インターフェイスの表示をカスタマイズしています。今回のパッチのように包括的なパッチを適用すると、アドオンの作者が新しいバージョンをリリースするまで、古いアドオンの多くは機能しなくなります。

そのため、今週はゲームのパッチ適用とアドオンの更新ラッシュとなり、その結果興味深いニュースも入ってきました。Curtis が使っているアドオンの 1 つに RatingBuster というものがあります。これは、通称 WhiteTooth というプレイヤーが作成しています。このアドオンはさまざまな場所で入手できます。通常は .zip アーカイブとして配布されており、いくつかのテキスト ファイル (LUA ファイル) が含まれています。しかし、今年のはじめ頃に、何者かがドメイン名 ratingbuster.org を登録して正規の Web サイトを装い、RatingBuster アドオンの代わりにトロイの木馬の提供を始めました。

この偽の RatingBuster は rbv1.4.9.exe という名前の実行可能ファイルとして配布されます。知らない実行可能ファイルを実行することは、ほとんどの WoW プレイヤーはやってはいけないと知っている禁忌事項です。この実行可能ファイルは自己解凍型の RAR アーカイブです。RAR アーカイブは WinRAR のようなユーティリティで簡単に解凍できます。アーカイブ内には、bot.exe (22,794 バイト、MD5: 6831c35e6d19ea0a1e1e9e346368b3e3) という 1 つの実行可能ファイルが含まれています。これが、このインストーラー内に格納されているマルウェア インストーラーです。

コンピューターが再起動されるたびに、あるレジストリ キーがこの DLL を読み込みます。読み込まれた DLL は、感染したコンピューター上で実行されているすべてのプログラムをフックし、削除できないようにします。bot.exe は実行されるたびに異なるファイル名を使用しますが、命名規則は常に 6 桁の数字に .txt 拡張子を続けたものです。この DLL の内部名は DllDog です。

この愚かなトロイの木馬で最悪なのは、WoW アドオンが含まれているにもかかわらず、WoW プレイヤーがこのインストーラーをダウンロードして入手するつもりだったアドオンをインストールしないということです。

ドメインもふざけています。2010 年 2 月に登録された ratingbuster.org の WHOIS 登録情報では、サイトの所有者は中国のスコッツデールにいることになっています。中国にスコッツデールがあるとは知りませんでした。また、この偽造 WHOIS データでは、このドメインは正規の WoW ファンサイト curse.com のものであると主張しています。ただし、Curse のサイトは米国で登録されていますが、ratingbuster.org は Xiamen ChinaSource Internet Service Co., Ltd. という登録者名で登録されています。

この悪意のあるドメインは Curse の名前とメール アドレスを使用して登録されているので、Curse がこのドメインを差し押さえて DNS を闇に葬り去ることが究極の仕返しになるのではないかと思います。このドメインを登録した犯罪者は、中国のサイバー警察に電話をかけ、合法的に登録されている所有者に自分たちのクライムウェア サイトが閉鎖されたと訴えればいいでしょう。

bot.exe とその DLL ペイロードのウイルス検出率は非常に低いです。ウェブルートは、今回のような卑劣なゲーム フィッシングに対応する新しい定義ファイルを作成しました。今後は、ratingbuster.org ドメインをブロックするだけでなく、感染したコンピューターから感染データ (Trojan-PWS-DllDog と名付けました) を削除することも簡単に行えます。
ウェブルート製品をご利用でなくても、Windows レジストリを操作できる技術的な知識があれば対応可能です。

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run

上のレジストリにアクセスし、「configuring」という名前の値を削除して、コンピューターを再起動するだけです。バックアップを開始する際は、Temp フォルダーに移動してコンテンツをすべて削除してください。万が一、コンピューターが起動できなくなった場合に備えて、レジストリ全体をバックアップし、システム復元ポイントを作成してから処理を開始するようにしてください。

また、だまされて DllDog をインストールしてしまったと思われる場合は、まずマルウェアを削除してから、WoW パスワードとゲーム フォーラムや掲示板で使用しているパスワードを変更してください。また、最近は 2 要素認証トークンを持ち歩くのがクールですので、Blizzard のオーセンティケーターを 1 つ入手することもご検討ください。アカウントの盗難を防止できます。

wordpress blog stats