Rabasheeta ドロッパーの詳細

先週のブログでお伝えした遠隔操作ウイルス（シマンテックは Backdoor.Rabasheeta として検出します）が、依然として日本中のマスメディアを騒がせています。バックドア型のマルウェアは、数千とは言わないまでも数百種類は存在しますが、先週来、報道でもソーシャルネットワークでも話題の中心となっているのは、今回の遠隔操作ウイルスです。シマンテックはそのドロッパーを発見しました。

ドロッパー

図 1. ドロッパーとその内容

ドロッパーとなるのは、侵入先のコンピュータにペイロードをインストールするトロイの木馬です。Backdoor.Rabasheeta のドロッパーは、メインモジュールと設定ファイルを投下したうえで、侵入先のコンピュータが起動するたびにメインモジュールが実行されるように、次のようなレジストリエントリを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "%UserProfile%\Local Settings\Application Data\Microsoft\iesys\iesys.exe"

また、このドロッパーはメインモジュールが潜伏しやすいように、その CreationTime、LastWriteTime、LastAccessTime をランダムな値に書き換えます。そして、メインモジュールを実行し終えるとドロッパーは自身をコンピュータから削除します。

グラフィカルユーザーインターフェース（GUI）

ここまではマルウェアでよく見られる動作ですが、今回のマルウェアには他とは異なる特徴があります。メインモジュールもドロッパーも、グラフィカルユーザーインターフェース（GUI）を備えているということです。次の図が、このドロッパーに用意されている GUI です。

図 2. ドロッパーの GUI

この GUI は、感染したコンピュータの所有者からは見えませんが、testMode というフラグがあって、これをオンにすると表示されるようになります。作成者がこの GUI を有効にするのは、デバッグのためです。この GUI を使えば、ボタンのクリックだけでマルウェアのインストールとアンインストールを行い、多くのテストを何度でも実行できるからです。

バージョン番号

前回のブログでは、メインモジュールに 3 つの亜種があり、それぞれがバージョン番号を持っていることを報告しました。メインモジュールのバージョン番号と、ドロッパーも含めた作成日は以下の表のとおりです。

タイムゾーンは日本標準時（JST）で、作成者が使っているコンピュータの時間設定に依存しています。ただし、コンピュータの時刻は簡単に変更できることに注意してください。

この表を見るかぎり、作成者は 1 カ月の間に定期的にマルウェアを更新しています。これまでに確認されたバージョン番号からすると、ほかにも亜種が存在する可能性があります。

シマンテックが調べたドロッパーには、バージョン 2.35 のメインモジュールが格納されていました。作成日によれば、このドロッパーは格納されていたメインモジュールの 22 日後に作成されたことになります。この間、作成者がメインモジュールの更新を停止していた理由はわかりませんが、バージョンの異なるメインモジュールを含むドロッパーが、ほかにもあるのかもしれません。

自己防衛を忘れずに

Backdoor.Rabasheeta の構造と機能は、最近のマルウェアと比べて特に高度なものではありません。しかし、侵入先のコンピュータで密かにバックドアを開く機能があることは確かです。

この種の脅威から身を守るためにも、不明なソースからソフトウェアをダウンロードする際には十分な注意が必要です。電子メール中の不審なリンクや添付ファイルはクリックしないようにしてください。また、オペレーティングシステムとソフトウェアが最新の常体になっているかどうかを確認することもお勧めします。シマンテックは、ドロッパーもメインモジュールも Backdoor.Rabasheeta として検出します。

日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。