Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

TeamSpy: バックドアで TeamViewer を悪用

Created: 22 Mar 2013 09:17:18 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

3 月 20 日、Budapest University of Technology and Economics(ブダペスト工科経済大学)の Laboratory of Cryptography and System Security(Crysys)は、同研究所で特定した標的型攻撃、TeamSpy についての調査結果を発表しました。シマンテックはこの脅威に対する保護対策を 2011 年から提供しており、現在はこれを Backdoor.Teambot として検出します。また、以下の IPS シグネチャも提供しています。

  • System Infected: Backdoor.Teambot Activity
  • System Infected: Backdoor.Teambot Activity2

この攻撃は、リモート管理ツールとして人気の高い TeamViewer を悪用して、被害者のコンピュータ上で動作するマルウェアを制御します。このトロイの木馬には、悪質な DLL とともに正規のアプリケーションがパッケージ化されており、暗号化された設定ファイルにコマンド & コントロール(C&C)サーバーと通信するためのパラメータが記録されています。

そして、Backdoor.Teambot はこの 2 年間に進化を遂げました。たとえば、最新バージョンでは、監視機能が大幅に強化されたモジュールが確認されています。C&C サーバーで検出されたコードからは、通信方法の変化に対応するためのマイナーな変更も認められます。

2011 年以来のシマンテックのデータを見てみると、Backdoor.Teambot の影響は多くの国や地域に及んでいることがわかります。
 

図 1. Backdoor.Teambot による被害のあった国や地域
 

1 つの C&C サーバーのコントロールパネルには、感染したクライアントと TeamViewer の資格情報に関するリストが表示されます。
 

図 2. Backdoor.Teambot の C&C サーバーのコントロールパネル
 

2011 年までさかのぼって、感染したコンピュータの記録も確認できます。
 

図 3. 2011 年に Backdoor.Teambot に感染したコンピュータの一部
 

Backdoor.Teambot などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。