Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

偽の証明書を使って人の目を欺こうとするマルウェア

Created: 17 Jun 2013 03:50:04 GMT • Updated: 17 Jun 2013 09:03:28 GMT • Translations available: English
Val S's picture
0 0 Votes
Login to vote

寄稿: 篠塚大志

マルウェアの作成者は、より巧妙な手口を求めて常に新しい方法を模索しています。サイバー犯罪者の前にはシマンテック保護技術がいくつも立ちふさがり、ユーザーのセキュリティ意識も高くなっているため、彼らの攻撃が成功することはますます難しくなってきました。

最近の調査で、シマンテックは Word13.exe という変わった名前のサンプルを発見しました。外見だけからすると、デジタル署名された Adobe 社製のファイルのように見えます。
 

Fake Certificate 4.jpg

図 1. Adobe 社の署名の付いた Word13.exe ファイル
 

Fake Certificate 1.png

図 2. 偽のデジタル署名のプロパティ
 

しかし、よく調べてみると、実に興味深い点に気づきます。
 

Fake Certificate 2.png

図 3. 偽の署名と証明書
 

これが偽物であることは、[発行者]フィールドに「Adobe Systems Incorporated」と書かれていることでわかります。Adobe 社は VeriSign 製品の顧客だからです。また、証明書の情報を見ると、CA ルート証明書を信頼できないこともわかり、これも決定的な証拠になります。
 

Fake Certificate 3.png

図 4. Adobe 社の正規の署名と証明書
 

シマンテックは、このファイルに対する保護対策を提供しており、Backdoor.Trojan として検出します。

Backdoor.Trojan は、自身を実行して iexplore.exe または notepad.exe にインジェクトし、バックドア機能を開始します。

作成される可能性があるファイルは、以下のとおりです。

  • %UserProfile%\Application Data\ aobecaps \cap.dll
  • %UserProfile%\Application Data\ aobecaps \mps.dll
  • %UserProfile%\Application Data\ aobecaps \db.dat

また、ポート 3337 で以下のコマンド & コントロール(C&C)サーバーに接続します。

  • Icet****ach.com 

そのうえで、このトロイの木馬は以下の処理を実行する可能性があります。

  • ユーザーとコンピュータの情報を盗み出す
  • フォルダを作成する
  • ファイルを作成、ダウンロード、削除、移動、検索、実行する
  • スクリーンショットを取得する
  • マウス機能をエミュレートする
  • Skype 情報を盗み出す

このマルウェアの被害を受けないように、ウイルス対策定義を常に最新の状態に保ち、ソフトウェアも定期的に更新するようにしてください。ダウンロードの URL が提示された場合には、必ずその URL を再確認し、必要に応じて念のために証明書と署名を確認してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。