2016年12月16日
株式会社Doctor Web Pacific
Trojan.Ticno.1537は、別のマルウェアプログラムによってコンピューター上にダウンロードされます。 起動されると、動作中のプロセス名とWindowsシステムレジストリ内の該当するブランチをチェックすることで、仮想環境とデバッグツールが存在するかどうかを確認します。また、プロダクトID、ユーザーおよびコンピューター名、Program Files内にネストされたフォルダの数、BIOSメーカー名を取得し、動作中のプロセスにperl.exeまたはpython.exeが存在するかどうかを確認します。プロセスのスキャンに成功すると、トロイの木馬はExplorerを起動させた後、動作を終了します。
何も問題が見つからなかった場合、 Trojan.Ticno.1537は1.zipと名付けられたファイルをディスク上に保存します。
上の画像はMicrosoft Windowsの標準的な「保存」ダイアログボックスではありません。左下に「Additional settings(追加設定)」リンクがあります。このリンクをクリックすると、 Trojan.Ticno.1537がコンピューター上にインストールするプログラムのリストが表示されます:
ユーザーが「Save(保存)」をクリックしてしまうと、 Trojan.Ticno.1537によってそれらのプログラムがダウンロード・インストールされます。
Trojan.Ticno.1537によってインストールされるプログラムにはAmigoブラウザ、Mail.Ru によって開発されたHomeSearch@Mail.ruプログラム、そしてトロイの木馬である Trojan.ChromePatch.1、 Trojan.Ticno.1548、 Trojan.BPlug.1590、 Trojan.Triosir.718、 Trojan.Clickmein.1、 Adware.Plugin.1400があります。
上記 Trojan.ChromePatch.1は、TrayCalendarアプリケーションによって拡散されるアドウェアで、2002年に作成されています。このプログラムとトロイの木馬は1つのインストールパッケージ内に含まれています。
TrayCalendarがディスク上にコピーされている間に、 Trojan.ChromePatch.1によってGoogle Chrome拡張機能が保存され、インストールされます。 Trojan.ChromePatch.1の最も注目すべき特徴はChromeリソースファイルresources.pakを感染させるというものです。この手法は、トロイの木馬が削除された後も強制的に広告を表示させることができるよう、2015年の春からサイバー犯罪者によって用いられているものです。 Trojan.ChromePatch.1はコメントを含んだストリングをresources.pak内で探し、それを自身のコードと置き換えるため、感染過程においてこのファイルのサイズに変化はありません。 Trojan.ChromePatch.1はChromeブラウザ内に広告を表示させるよう設計されています。
Dr.Web Anti-virusは上記トロイの木馬を全て検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。