2016年6月3日
株式会社Doctor Web Pacific
ユーザーの介入なしに拡散され、実行ファイルを感染させることができるという機能から、 Trojan.Bolik.1と名付けられたこのトロイの木馬はポリモーフィック型ウイルスに分類されています。
Trojan.Bolik.1の持つ最も危険な機能は自身を拡散することができ、プログラムを感染させることができるという2つであると言えます。自己拡散機能はサイバー犯罪者によってアクティベートされます。続けて Trojan.Bolik.1はWindowsシステムまたは接続されたUSBデバイス上で書き込み可能なフォルダを調べ、実行ファイルの有無を確認します。このトロイの木馬は32ビットアプリケーションおよび64ビットアプリケーションの両方を感染させることができます。
このウイルスに感染したプログラムはDr.Web Anti-virusによって Win32.Bolik.1として検出されます。このようなプログラムにはそれぞれ暗号化された Trojan.Bolik.1とその他の必要な情報が含まれています。ユーザーが感染したプログラムを実行してしまうと、ウイルスは Trojan.Bolik.1を復号化し、ディスク上に保存することなくコンピューターのメモリ内で直接起動させます。ウイルスには、そのコードと復号化処理を担う構造を直ちに変更する特殊なメカニズムが組み込まれています。これにより、ウイルスは可能な限り長くユーザーの目を逃れることができます。また、 Win32.Bolik.1は異なるループや繰り返しの指示から成る特有のテクニックを使用し、特殊なエミュレーター上で悪意のあるアプリケーションを実行することのできるアンチウイルスプログラムの動作を妨げようと試みます。
Trojan.Bolik.1は特別なファイル内に保存された仮想ファイルシステムをCarberpから引き継いでいます。トロイの木馬はこのファイルをいずれかのシステムディレクトリまたはユーザーフォルダ内に保存します。このファイルシステムはマルウェアがその動作に必要な情報を感染したシステム上に密かに保存することを可能にします。さらに、 Trojan.Bolik.1はZeusからwebインジェクション機能を引き継いでいます。この機能を使用することでサイバー犯罪者はログインおよびパスワードを盗み、オンラインバンキングアプリケーションへアクセスしたり、その他の個人情報を盗むことが可能になります。 Trojan.Bolik.1は主にロシアの銀行利用者を攻撃する目的で設計されているということが、C&Cサーバーから受け取った設定ファイル内の特徴的な行から明らかになっています。
Trojan.Bolik.1の主な目的は機密情報を盗むことです。その目的を達成するために複数の手法を用いることができ、例として、Microsoft Internet Explorer、Chrome、Opera、Mozilla Firefoxによって送受信されるデータを管理することでフォームに入力された情報を盗むといったものが挙げられます。また、 Trojan.Bolik.1はスクリーンショットを撮り、キーロガーとして動作し、ウイルス開発者の間でファイルを共有するために独自のプロキシサーバーおよびwebサーバーを作成する機能も備えています。そのほか、コマンド内でマスクを指定することによって必要なファイルを見つけることができ、その他の新しいバンキングトロイの木馬と同様、いわゆる逆接続を確立することで、ファイアウォールによって保護されたネットワークまたは外部IPアドレスを持たないネットワーク(NAT内で動作する)と犯罪者との間のやり取りを可能にします。送受信される情報はすべて複雑なアルゴリズムを用いて暗号化された後に圧縮されます。
Trojan.Bolik.1は非常に高度な機能と構造を有しており、Windowsユーザーにとって極めて危険な脅威となっています。Dr.Web Anti-virusは Trojan.Bolik.1のすべてのコンポーネントを検出・削除しますが、 Trojan.Bolik.1の構造が独特のものであるため修復に時間がかかる場合があります。Dr.Webによるコンピューターのスキャンが完了するまでお待ちください。