2017年1月13日
株式会社Doctor Web Pacific
BackDoor.Ragebot.45と名付けられたこのワームは該当するチャットチャンネルに接続することで、IRC(インターネット・リレー・チャット)プロトコルを経由してコマンドを受け取ります。
Windowsを搭載したコンピューターを感染させると、 BackDoor.Ragebot.45はFTPサーバーを起動させ、それを使用して自身のコピーをコンピューター上にダウンロードします。続けて、アクセス可能なサブネットをスキャンし、仮想ネットワークコンピューティング(VNC)デスクトップとの接続を確立するために5900番ポートの開かれたノードを探します。マシンが検出されると、 BackDoor.Ragebot.45はブルートフォースアタックを用いて不正アクセスを試みます。
アクセスに成功すると、ワームはVNC接続を確立してキーストロークのシグナルを送信します。それらを使用してCMDコマンドインタプリタを起動させ、FTPプロトコル経由で自身のコピーを起動させるためのコードを実行します。こうしてワームは自身を複製します。
BackDoor.Ragebot.45の持つもう1つの機能に、リムーバブルメディア上のRARアーカイブを検索して感染させるというものがあります。アーカイブを検出すると、 BackDoor.Ragebot.45はそこにコピーを保存します(setup.exe、 installer.exe、 self-installer.exe、またはself-extractor.exeという名前で)。感染させるためには、アーカイブから抽出されたファイルをユーザーが実行する必要があります。
また、トロイの木馬はP2P接続を確立するために設計されたプログラムのフォルダと一緒に、自身をICQクライアントフォルダにコピーします。該当するコマンドを受け取ると、 BackDoor.Ragebot.45はシステム内に別のトロイの木馬が存在しないかどうかを確認し、見つかった場合はその実行ファイルを削除します。このトロイの木馬は、無視するファイル(主にWindowsシステムファイル)の名前を含んだ特別なホワイトリストを備えており、このことが、感染したシステム上での動作を可能にしています。
BackDoor.Ragebot.45の古いバージョンのサンプルが少し前に公開されたことから、今後このワームが急激に自身を拡散していくことが懸念されます。Dr.Webは BackDoor.Ragebot.45を検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。