Google が開発した Go プログラミング言語は、2007 年に設計され 2009 に発表されましたが、その後 3 年間で大きく躍進しました。今では、マルウェアの開発にも使われるようになっています。最近被害が確認された Trojan.Encriyoko は、Go で書かれたコンポーネントに関連する新しい脅威です。このトロイの木馬は、侵入先のコンピュータで各種のファイル形式を暗号化し、暗号化したファイルを使用不能にします。
シマンテックが入手したオリジナルのサンプルは、GalaxyNxRoot.exe というファイル名ですが、実際には .NET で書かれたドロッパーです。Root 化ツールに偽装し、ユーザーを騙してインストールさせようとします。
図 1. GalaxyNxRoot.exe のプロパティ
実行されると、GalaxyNxRoot.exe ファイルは 2 つの実行可能ファイルを投下して実行します。これらはどちらも、Go で書かれています。
- %Temp%PPSAP.exe
- %Temp%adbtool.exe
投下される PPSAP.exe ファイルは、情報を盗み出すトロイの木馬です。現在実行中のプロセス、ユーザー名、MAC アドレスといったシステム情報を収集し、次のリモートサーバーに送信します。
[http://]golang.iwebs.ws/about/step1.php
一方、投下される adbtool.exe ファイルは、暗号化されたファイルを次のリモートサーバーからダウンロードします。
[http://]sourceslang.iwebs.ws/downs/zdx.tgz
このファイルは、ダイナミックリンクライブラリ(DLL)ファイルとして復号されてロードされます。それが、侵入先のコンピュータで各種のファイル形式を暗号化しようとします。対象となるファイル形式は、以下のとおりです。
- ソースコードファイル(.c、.cpp、.cs、.php、.java、.pas、.vb、.frm、.bas、.go、.asp、.aspx、.jsp、.pl、.py、.rb)
- 画像ファイル(.jpg、.png、.psd)
- オーディオファイル(.wav、.wma、.amr、.awb)
- アーカイブファイル(.rar、.zip、.iso、.gz、.7z)
- 文書ファイル(ファイル拡張子に、doc、xls、ppt、mdb、pdf のいずれかの文字列を含むもの)
- その他のファイル形式(ファイル拡張子に、dw、dx、sh、pic、111、win、wvw、drw、grp、rpl、mce、mcg、pag のいずれかの文字列を含むもの)
図 2. 標的となるファイル形式
ファイルのパスは、特定のパス(%Windir%、%ProgramFiles%、%UserProfile%\Local Settings など)にあるファイルが暗号化されないように、トロイの木馬によって確認されます。
暗号化に使われるのは Blowfish アルゴリズムで、暗号化キーは D:\nepia.dud から読み込まれるか、またはランダムに生成されます。暗号化されたファイルの名前はすべて、%Temp%\vxsur.bin に保存されます。
%Temp%\vxsur.bin
暗号化されたファイルの修復は、不可能ではないにしても困難です。
シマンテックはこれらのファイルをすべて検出します。検出名は、GalaxyNxRoot.exe が Trojan.Dropper、PPSAP.exe が Infostealer、adbtool.exe が Downloader、zdx.dll が Trojan.Encriyoko です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。