最近、シマンテックセキュリティレスポンスでは、ソーシャルネットワーキングを利用して複数のプラットフォームに感染するトロイの木馬について調査しました。ウイルスの開発者はたいていの場合、このテクニックを悪用することで、無防備なユーザーをだまして悪意のあるリンクをクリックさせます。こうした悪意のあるリンクをクリックすると、ユーザーの「PC」に脅威(W32.Koobface など)がダウンロードされて実行されます。ここで「PC」と書きましたが、コンピュータの世界では、この言葉は Windows コンピュータと同じ意味で使われます。Windows は、さまざまな理由からウイルス開発者が標的とすることが多いプラットフォームです。ただし、Mac OSX といった、Windows 以外のオペレーティングシステムも普及しており、マルウェア開発者の注目を集めています。彼らは普及している Windows 以外のオペレーティングシステムにもその標的の範囲を広げ、それらのプラットフォームに感染することで、感染の影響を最大限にしようとしています。
この特定のトロイの木馬(シマンテックでは Trojan.Jnanabot として検出しています)は、複数のプラットフォームを標的にするウイルスです。Jnanabot には、キーロギング、IRC サーバーへの接続、ソーシャルネットワーキングサイトへの悪意のあるリンクの送信といった多数の機能が組み込まれており、Windows、Mac OSX、Linux の各プラットフォームのユーザーに影響を与えます。
この脅威は複数のファイルで構成されています。ここでは、その構成ファイルをコンポーネントと呼ぶことにします。各コンポーネントは特定のタスクを担っています。コンポーネントには、コンパイル済みの Java ファイルや、プラットフォーム固有の実行可能ファイルといったものがあります。
トロイの木馬をコーディングする言語が巧妙に選ばれていることも特筆すべき点です。このトロイの木馬は、プラットフォームに依存しない Java 言語で記述されています。それぞれのモジュールには Java コンパイル済みファイル(.class ファイル)が含まれており、これらは Java ランタイム実行可能ファイル(.jar ファイル)にパッケージ化されています。多くの場合、Java Runtime Environment(JRE)は、プラットフォームを問わずインストールされています。JRE がコンピュータにインストールされている限り、脅威は自分自身を実行することができます。
次に示すのは、Windows プラットフォームに Jnanabot をインストールして実行させるシナリオです。
無防備なユーザーが、ソーシャルネットワーキングサイトで悪意のある URL をクリックしてしまうと、ドロッパーファイルがダウンロードされます。次に、このファイルが jnana.tsa という .jar ファイル形式のメインコンポーネントを投下して起動します。このファイルには暗号化された多数の class ファイルが含まれています。class ファイルの暗号化と復号化には Cplib_x86_win モジュールを使います。このコンポーネントは、脅威の他のすべてのコンポーネントを制御することができます。
次に、このメインコンポーネントがインストール/アップデート実行コンポーネント、さらにキーロギングコンポーネントをダウンロードします。
シマンテックは、この脅威とそれを構成するコンポーネントを Trojan.Jnanabot として検出しました。この脅威については現在調査中です。詳細については、状況が整い次第、このブログでお知らせします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。