Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Backdoor.R2D2: 政府関与の可能性はあるのか?

Created: 11 Oct 2011 10:40:13 GMT • Translations available: English
Gavin O Gorman's picture
0 0 Votes
Login to vote

10 月 9 日、Chaos Computer Club(カオスコンピュータクラブ、CCC)という名で知られるドイツのハッカー集団が、政府によるスパイソフトウェアであると主張するマルウェアに関する解析を発表しました。20 ページに及ぶ PDF ファイルで、このソフトウェアの動作が説明されています。また、CCC はこのソフトウェアのコピーも自らの Web サイトで公開しています。.dll ファイルと .sys ファイル(ドライバ)の形式です。CCC からは、これが政府が関与しているサンプルであるという主張の証拠はまだ示されていません。

シマンテックでは、このサンプルの初期解析を実施し、CCC の文書に書かれている機能の多くを確認しました。このサンプルはマルウェアであり(シマンテックでは Backdoor.R2D2 として検出しています)、感染するとバックドアが開かれ、リモートの攻撃者が、感染したコンピュータにアクセスできるようになります。

バックドア .dll ファイルである mfc42ul.dll は、チャットや VoIP のアプリケーションを監視し、着信と発信の呼び出しなどのステータス変更を傍受することができます。デスクトップのスクリーンショットを撮ってリモートのコマンド & コントロール(C&C)サーバーにアップロードする機能も持っています。

盗み出されたデータは、実行可能ファイルに格納されている静的な鍵を使って AES 暗号化されます。コマンドは、TCP ポート 443 を介して C&C サーバーから平文で取得されます。

これに伴うドライバファイル winsys32.sys には、キーロガーを実装するコードが含まれていますが、このコードはアクティブ化されていないようです。ドライバは .dll ファイルから制御が可能であり、以下の処理を実行できます。

  • ファイルを作成する
  • ファイルに書き込む
  • ファイル名を変更する
  • ファイルを削除する
  • レジストリエントリを作成および変更する

シマンテックでは引き続きこのコードを解析しており、詳細がわかりしだい更新情報をお届けする予定です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。