2012年10月5日掲載
株式会社Doctor Web Pacific
マルチコンポーネントであるBackDoor.BlackEnergyは、最近まで、最も大規模なスパムボットネットの1つを構成するために使用されており、そのピーク時には1日のスパムメッセージ数は180億にものぼりました。いくつかの企業およびセキュリティエキスパートの尽力により、2012年7月、感染したコンピューターの多くをコントロールしていたボットネットの管理サーバーが遮断され、その結果世界中のスパムトラフィックに減少が見られました。しかしながら、小規模なボットネット管理サーバーがアクティブなままであったことから、BackDoor.BlackEnergyの完全な活動停止には至りませんでした。このトロイの木馬の新たなバージョンの登場によって、これらゾンビコンピューターネットワークの作成者達がボットネットのかつての威光を取り戻そうとしていることが分かります。
BackDoor.BlackEnergy.18としてDr.Webウイルスデータベースに加えられたこの新たな亜種は、Microsoft Wordドキュメントが添付された電子メールによって拡散されました。興味深いのは、これらのメールが外務省や在アメリカ合衆国ウクライナ大使館などのウクライナ政府機関に対して送信されているという点です。
上の画像は、世界中で抗議デモを引き起こし、既に死者をも出している問題の映画“Innocence of Muslims”がホットなトピックとして利用されていることを示しています。
Dr.Web アンチウイルスソフトによってExploit.CVE2012-0158.14として検出された、メールに添付されたドキュメントには、ActiveXコンポーネント(このコンポーネントはWord及びその他Microsoft Windows向け製品によって使用されます)の1つにおける脆弱性を悪用するコードが含まれています。ドキュメントを開こうとすると、一時ディレクトリ内に« WinWord.exe»、«Невинность мусульман.doc»という名前で2つのファイルが保存されます。1つ目のファイルは、システムカタログ内にそのドライバをインストールするためのBackDoor.BlackEnergy.18トロイの木馬ドロッパーです。
起動されると、ドロッパーは保存された2つ目のファイルを開きます。このファイルは通常のMicrosoft Wordドキュメントであり、被害者の希望する内容を含むことで、ユーザーが疑惑を抱くことのないようになっています。
Бэкдоры семейства BackDoor.BlackEnergy
BackDoor.BlackEnergyファミリーは、個別にダウンロード可能なプラグインによる悪意のある活動を実行する、モジュラー型トロイの木馬です。この点に関して、新しい亜種は従来のものと変わりません。このトロイの木馬は、その動作に、194.28.172.58にある管理サーバーから受け取ったxml形式の特別な設定ファイルを使用します。このファイルに従い、BackDoor.BlackEnergy.18 は以下のモジュールを実行することが可能です。
| 名称 | 亜種バージョン | コンパイル日 | 目的 |
|---|---|---|---|
| ps | 14 | 2012年9月4日 | ポピュラーなインターネットアプリケーション(ブラウザ、メールクライアントなど)からパスワードを盗む) |
| fs | 24 | 2011年9月16日 | ファイルシステムとの連携、コンピューターに関するデータの収集 |
| ss | 9 | 2012年4月17日 | スクリーンショットと動画の作成 |
| upd | 4 | 2012年3月3日 | トロイの木馬のアップデートを取得 |
| vsnet_l | 3 | 2012年6月9日 | リモートデスクトップを使用した、コンピューターへのアクセス |
Windows向けのモジュールに加え、Intel プロセッサ32-bitのLinux上で動作するELF実行ファイルであるプラグインも発見されています。
| 名称 | 亜種バージョン | 目的 |
|---|---|---|
| fs_lin | 1 | ファイルシステムとの連携 (ファイル及びディレクトリのリストを取得するなど) |
| up_lin | 1 | トロイの木馬のアップデートを取得 |
| weap_lin | 1 | DDoS攻撃の実行 |
Linux上でコンパイルされたプラグインでは、設定ファイル内で最初のバージョンが指定されており、また管理サーバーに関する情報が含まれていません。Windowsを標的としたバージョンのロードリスト内にそれらの情報が含まれているのは、設計者のミスによるものであると推測されます。Doctor Webのスペシャリストは、このトロイの木馬のLinux向けバージョンは特別なドロッパーによって拡散されていると考えています。
このトロイの木馬のシグネチャは既にDr.Webのウイルスデータベースに追加されているため、Doctor Web製品をお使いのユーザーにとっては重大な脅威ではありません。