Video Screencast Help
Security Response

Google の Go 言語を利用するマルウェア

Created: 19 Sep 2012 06:16:34 GMT • Translations available: English
Flora Liu's picture
0 0 Votes
Login to vote

Google が開発した Go プログラミング言語は、2007 年に設計され 2009 に発表されましたが、その後 3 年間で大きく躍進しました。今では、マルウェアの開発にも使われるようになっています。最近被害が確認された Trojan.Encriyoko は、Go で書かれたコンポーネントに関連する新しい脅威です。このトロイの木馬は、侵入先のコンピュータで各種のファイル形式を暗号化し、暗号化したファイルを使用不能にします。

シマンテックが入手したオリジナルのサンプルは、GalaxyNxRoot.exe というファイル名ですが、実際には .NET で書かれたドロッパーです。Root 化ツールに偽装し、ユーザーを騙してインストールさせようとします。
 

図 1. GalaxyNxRoot.exe のプロパティ
 

実行されると、GalaxyNxRoot.exe ファイルは 2 つの実行可能ファイルを投下して実行します。これらはどちらも、Go で書かれています。

  • %Temp%PPSAP.exe
  • %Temp%adbtool.exe

投下される PPSAP.exe ファイルは、情報を盗み出すトロイの木馬です。現在実行中のプロセス、ユーザー名、MAC アドレスといったシステム情報を収集し、次のリモートサーバーに送信します。
[http://]golang.iwebs.ws/about/step1.php

一方、投下される adbtool.exe ファイルは、暗号化されたファイルを次のリモートサーバーからダウンロードします。
[http://]sourceslang.iwebs.ws/downs/zdx.tgz

このファイルは、ダイナミックリンクライブラリ(DLL)ファイルとして復号されてロードされます。それが、侵入先のコンピュータで各種のファイル形式を暗号化しようとします。対象となるファイル形式は、以下のとおりです。

  • ソースコードファイル(.c、.cpp、.cs、.php、.java、.pas、.vb、.frm、.bas、.go、.asp、.aspx、.jsp、.pl、.py、.rb)
  • 画像ファイル(.jpg、.png、.psd)
  • オーディオファイル(.wav、.wma、.amr、.awb)
  • アーカイブファイル(.rar、.zip、.iso、.gz、.7z)
  • 文書ファイル(ファイル拡張子に、doc、xls、ppt、mdb、pdf のいずれかの文字列を含むもの)
  • その他のファイル形式(ファイル拡張子に、dw、dx、sh、pic、111、win、wvw、drw、grp、rpl、mce、mcg、pag のいずれかの文字列を含むもの)
     

図 2. 標的となるファイル形式
 

ファイルのパスは、特定のパス(%Windir%、%ProgramFiles%、%UserProfile%\Local Settings など)にあるファイルが暗号化されないように、トロイの木馬によって確認されます。

暗号化に使われるのは Blowfish アルゴリズムで、暗号化キーは D:\nepia.dud から読み込まれるか、またはランダムに生成されます。暗号化されたファイルの名前はすべて、%Temp%\vxsur.bin に保存されます。
%Temp%\vxsur.bin

暗号化されたファイルの修復は、不可能ではないにしても困難です。

シマンテックはこれらのファイルをすべて検出します。検出名は、GalaxyNxRoot.exe が Trojan.Dropper、PPSAP.exe が Infostealer、adbtool.exe が Downloader、zdx.dll が Trojan.Encriyoko です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。