Tag Archives: Backdoor.Tidserv

Waledac ??: Trojan.Rloader.B

      No Comments on Waledac ??: Trojan.Rloader.B

W32.Virut に感染したシステムで W32.Waledac.D(Kelihos)のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。
 

image1_1.png

図 1. W32.Waledac.D のスパム
 

過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。
 

graph.png

図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国
 

W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。
 

image2_0.png

図 3. Trojan.Rloader.B の攻撃手順
 

Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。

さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。

シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。
 

image3.gif

図 4. ポップアップ広告の例
 

シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Waledac Reloaded: Trojan.Rloader.B

Recently, we blogged about systems compromised by W32.Virut that were observed downloading W32.Waledac.D (Kelihos). Symantec has followed the Waledac evolution for a number of years and have observed the botnet showing considerable resilience against t…

50 MB ? CEF?Chromium Embedded Framework????????????? Tidserv ???

Tidserv(別名 TDL)は、検出をすり抜けるためにルートキット機能を採用している複雑な脅威です。発見は 2008 年に遡り、それ以来シマンテックの監視網で検出され続けています。拡散が確認されている Tidserv の新しい亜種では、正規の CEF(Chromium Embedded Framework)が利用され始めました。マルウェアが正規のフレームワークを不正な目的に利用する例はこれが初めてではありませんが、Tidserv の今回の新しい亜種は、正常に機能するために 50 MB ものフレームワークをダウンロードする必要があり、マルウェアとしては異例です。

Backdoor.Tidserv の亜種はモジュール式のフレームワークを利用して、新しいモジュールをダウンロードし、正常なプロセスにインジェクトすることができます。これまでの亜種は、リンクのクリックや広告のポップアップといったネットワーク操作の実行に serf332 というモジュールを使っていました。serf332 は COM(Component Object Model)オブジェクトを利用して Web ページを開き、ページコンテンツを検査します。先週シマンテックは、Tidserv が cef32 という新しいモジュールをダウンロードしていることを確認しました。新しい cef32 モジュールは、serf332 と同じ機能を持っていますが、CEF の一部である cef.dll を必要とします。そのため、異例なことに 50 MB の CEF すべてを侵入先のシステムにダウンロードしなければなりません。

CEF のダウンロード数は、過去 18 日間でかなりの増加を示しています。そのうち何件が Tidserv の感染活動に関係しているかは不明ですが、これらのダウンロードがマルウェアに起因するとすれば、Tidserv に感染したコンピュータは相当の数にのぼります。
 

new tidserv 1.jpeg

図 1. 過去 18 日間における CEF のダウンロード数
 

CEF は、Google Chromium プロジェクトに基づいた Web ブラウザコントロールを提供します。開発者はそれを利用して、Web ブラウザウィンドウを持つアプリケーションを作成できます。HTML の解析や JavaScript の解析と実行など、ブラウザの実行に必要なすべての機能を実行するのが CEF ライブラリです。
 

new tidserv 2.png

図 2. CEF ライブラリに渡される Tidserv の JavaScript
 

CEF を使うことで、Tidserv は基本的な Web ブラウザ機能の多くを自身のモジュールから CEF ライブラリに移行できるため、より小さなモジュールを使って、新機能の追加更新をより簡単に行えるようになります。CEF を使う場合の欠点は、cef32 モジュールをロードするために cef.dll が必要なことです。CEF の zip ファイルをダウンロードする URL は現在、serf332 バイナリにハードコードされているので、この URL を変更するたびに、serf332 モジュールの更新も必要になります。

CEF とその作成者は、不法または不正な目的に CEF フレームワークを利用することを承認も推奨もしていません。このような悪用を阻止するために、CEF の関係者は可能な範囲であらゆる措置を講じる予定です。そのため、マルウェアに悪用されていたバイナリは Google Code プロジェクトのページから削除されています。現在、今回のような悪用を可能な限り防止する無償のバイナリをユーザーに提供する別の方法が検討されています。

シマンテックは、Tidserv のような脅威の進化を常に追跡しています。最新の STAR マルウェア対策技術を利用して、できる限りの保護対策を講じることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Tidserv Variant Downloads 50 MB Chromium Embedded Framework

Tidserv (a.k.a. TDL) is a complex threat that employs rootkit functionality in an attempt to evade detection. The malware continues to be on the Symantec radar since its discovery back in 2008. The latest variant of Tidserv being distributed in the wil…