Tag Archives: snifula

?????????????????????????? Neverquest ?????????

最近、オンラインバンキングを狙う新しいトロイの木馬のことがメディアで報じられています。このトロイの木馬は、報道では Neverquest と呼ばれています。コンピュータが Neverquest に感染すると、特定のブラウザでオンラインバンキングの Web サイトを開いたときにコンテンツが改ざんされ、サイトに不正なフォームがインジェクトされます。そうなると、攻撃者はユーザーからログイン情報を盗み出せるようになり、さらには VNC(Virtual Network Computing)サーバーを利用して、侵入先のコンピュータを制御できるようにもなります。Neverquest は自身を複製するために、ログイン情報を盗み出して Neverquest ドロッパーをスパムで送りつけるか、FTP サーバーにアクセスして資格情報を取得したうえで Neutrino 悪用ツールキットによってマルウェアを拡散するか、またはソーシャルネットワークのログイン情報を取得して侵入先の Web サイトへのリンクを拡散します。
 
シマンテックがトロイの木馬 Neverquest を解析したところ、これはシマンテックが Snifula として検出するマルウェアグループの進化形であることがわかりました。Snifula が初めて出現したのは 2006 年のことですが、Neverquest のコードを解析した結果、Snifula グループの古いサンプル(Backdoor.Snifula.D)との類似点が確認されたのです。また、Snifula によって以前に使われていたことが判明しているネットワークのインフラは、Neverquest と密接に関係があることも確認されています。この新しい脅威に対しては、2013 年 4 月中頃に初めて確認されたときから、さまざまな汎用検出名ですでに保護対策が実施されています。その後、検出定義を分類化したので、現在この脅威は Trojan.Snifula として検出されます。
 
類似点
前述したように、Trojan.Snifula(通称 Neverquest)のコードには、Snifula グループの古いサンプルとの類似点が認められます。2 つの脅威の実行可能ファイルは、構造と機能こそ異なっているものの独特なコードの一部を共有しており、そこに両者の関連性が見て取れます。たとえば以下の画像を見ると、8 バイトのデータをネットワーク上に送信するコードがあり、そのうち最初の 4 バイトに「26A6E848」という特殊なマーカーが含まれていることがわかります。
 
figure1_5.png
図 1. Trojan.Snifula(Neverquest)でネットワークトラフィックを送信するコード
 
figure2_2.png
図 2. Backdoor.Snifula.D で使われている図 1 と同じコード
 
コードはほぼ同一で、マーカーも共通です。つまり、このコードは一般に入手できるソースから採用されたものではないことになります。もちろん類似点はこれだけではなく、ほかにも多くの共通点を見出すことができます。
 
figure3_2.png
図 3. Trojan.Snifula(Neverquest)で現在のプロセス ID を記録するコード
 
figure4_1.png
図 4. Backdoor.Snifula.D の同じコード
 
このコードは、悪質なプロセス ID を現在時刻とともにログに記録します。コードも文字列も 2 つの脅威で同一であり、CRC アルゴリズムと Aplib アルゴリズム、そしていくつかの共通の文字列が使われています。
 
コマンド & コントロールのインフラ
シマンテックは、Trojan.Snifula(Neverquest)で使われているコマンド & コントロール(C&C)ネットワークのインフラを調べて、両者の間に関連性の手掛かりがあることも解明しています。Trojan.Snifula は、C&C サーバーとして IP アドレス 195.191.56.245 を使っていました。その IP アドレスでホストされていることがわかっているドメインは 2 つしかなく、その 1 つが FyXqgFxUmihXClZo.org です。このドメインは Aster Ltd が所有していることがわかっており、Aster Ltd が所有しているドメインは、以下の 26 個であることも確認されています。
  • accman.com.tw
  • afg.com.tw
  • amosw.com.tw
  • aster.net
  • asterdon.ru
  • asterltd.com
  • astervent.ru
  • bestsid.com.tw
  • countdown.com.tw
  • durpal.com.tw
  • facestat.com.tw
  • fforward.com.tw
  • fyxqgfxumihxclzo.org
  • geobiz.net
  • makumazna.com.tw
  • maskima.com.tw
  • maxward.com.tw
  • miison.com.tw
  • mssa.com.tw
  • parti.com.tw
  • pluss.com.tw
  • sparkys3.com
  • sparkys3.net
  • tdaster.ru
  • thehomeofficecatalogue.net
  • thehomeofficecatalogue.org
 
Aster Ltd のドメインのうち Pluss.com.tw と Countdown.com.tw は、IP アドレス 195.210.47.173 でホストされています。シマンテックは 2013 年の 2 月と 3 月に、Backdoor.Snifula.D で使われたアクティブな C&C サーバーとこの IP アドレスとの関連性を特定しています。Sparkys3.net や Facestat.com.tw など、Aster Ltd が所有するその他のドメインは、IP アドレス 195.137.188.59 でホストされており、これも Trojan.Snifula の C&C サーバーが使う IP アドレスとして確認されているものです。
 
Snifula グループ
シマンテックは、過去数年間で Snifula グループのさまざまな新種を確認しています。今回の Trojan.Snifula は、さらに高度な技術を利用して成長しており、情報を盗み出しますが、その出現は Snifula グループの歴史上、予測された進化です。Snifula グループが何年も掛けて進化し成長してきたことから、このマルウェアが今すぐ脅威を取り巻く世界から姿を消すとは考えられません。
 
この脅威から保護するために、シマンテックは以下の侵入防止システム(IPS)シグネチャを提供しています。
  • System Infected: Trojan.Snifula Activity
 
シマンテックは、この脅威に対して最善の保護対策を提供できるように、今後も Snifula グループの監視を続けます。このような攻撃から保護するために、ノートン インターネットセキュリティSymantec Endpoint Protection を使用することをお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Dangerous New Banking Trojan Neverquest Is an Evolution of an Older Threat

There has been recent media coverage around a new online banking Trojan, publicly known as Neverquest. Once Neverquest infects a computer, the malware can modify content on banking websites opened in certain Internet browsers and can inject rogue forms…