Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

スペイン発オランダ行きの Exprez.B(別名 Dorifel)

Created: 15 Aug 2012 09:55:50 GMT • Translations available: English
Santiago Cortes's picture
0 0 Votes
Login to vote

この調査にご協力いただいた Denis Carmody 氏に感謝します。

さる 6 月のブログで、スペイン語圏の企業や組織を狙う脅威グループの新しいバージョン、Trojan.Exprez.B についてご報告しました。最近になってシマンテックは、オランダとデンマークでこの Trojan.Exprez.B の新しいバージョンを確認しています。脅威としての変化はありませんが、新しく更新され標的も追加されており、XDocCrypt あるいは Dorifel と呼ばれることもあります。

Trojan.Exprez.B はリムーバブルドライブやネットワークドライブを介して拡散する機能を持ち、実行可能ファイルと Office 文書に感染しますが、今回はどんな点が更新されたのでしょうか。

以前の Trojan.Exprex.B は .exe、.doc、.docx のファイルにしか感染しませんでしたが、今回は標的となるファイルのリストに .xls と .xlsx の文書が加わりました。

さらに、シマンテックが 6 月に解析したサンプルには画像ファイルにリンクする URL が不明瞭化された形で含まれていましたが、今回はその URL も更新されています。

  • https://forum.perf[削除済み]acy.com/image.php?u=4140(以前の URL)
  • https://forum.4g[削除済み]e.com/image.php?u=18736(新しい URL)

関心のある読者のために、以前の画像と新しいの画像を挙げておきます。

画像そのものは悪質なものではありませんが、念入りに調べたところ、この脅威に特定の文字列を送信するためにステガノグラフィーのコンテンツとして使われていることがわかりました。ステガノグラフィーコンテンツを取り出し、この脅威が持つ不明瞭化解除のアルゴリズムを使うと、この脅威に送信されて今後のダウンロードに利用される URL のリストを取得できます。幸いなことに、これらの URL は無効化されたと見られ、現時点では正規の Web ページにリンクしています。

侵入先のコンピュータの再起動後にファイルの滞留時間を確保するメカニズムも更新されています。

以前のバージョンは、自身を次の場所にコピーしていました。これはオペレーティングシステムによってロードされる .dll ファイルです。

%Windir%\xpsp2res.dll

今回のバージョンは、自身のほかに脅威へのリンクも、次のようにランダムな名前のフォルダとファイルにコピーします。

  • %UserProfile%\Application Data\[ランダムな文字のフォルダ名]\[ランダムな文字のファイル名].exe
  • %UserProfile%\Application Data\[ランダムな文字のフォルダ名]\[ランダムな文字のファイル名].exe.lnk

例:

  • %UserProfile%\Application Data\K20SNM\K0HK2R.exe
  • %UserProfile%\Application Data\K20SNM\K0HK2R.exe.lnk

Windows の起動時に .lnk ファイルを実行できるように、次のレジストリエントリも作成されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%USERPROFILE%\APPLIC~1\K20SNM\K0HK2R~1.LNK"

自身のコピーを作成し、ユーザーのファイルを暗号化して新しい脅威に追加するというファイル感染メカニズムは変わっていません。

いつものように、シマンテック製品をお使いのお客様は、この新しい脅威グループから保護されています。脅威のドロッパーは Trojan.Exprez.B!gen2 として検出され、感染したファイルは Trojan.Exprez.B として検出されます。ファイルはエンジンによって修復され、感染も駆除されますが、ファイルの拡張子はユーザーが変更しなければなりません。たとえば、修復されたファイルが次のような名前であるとします。

[元のファイル名]xcod.scr

このファイル名は、次のように変更する必要があります。

[元のファイル名].docx

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。