Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Trojan.Jnanabot についての考察

Created: 03 Nov 2010 09:18:12 GMT • Translations available: English
Jeet Morparia's picture
0 0 Votes
Login to vote

この記事は、Trojan.Jnanabot に関して私が投稿した前回のブログの続報です。今回のブログでは、この脅威の感染について詳しく説明し、さらに明らかになった機能についても触れておきたいと思います。

Jnanabot は、感染の対象が広く、機能も多様です。感染の主な経路としては、ソーシャルネットワーキング Web サイトの Facebook が利用されています。そのほかにも、Jnanabot は多くのコンポーネントを組み合わせて、さまざまな処理を実行します。情報を盗み出すためのキーロガーコンポーネントや、侵入先のコンピュータをリモートコンピュータから制御する IRC コンポーネントのほか、自身を更新する機能も持ち、何よりも Mac OSX、Windows、Linux という複数のプラットフォームにわたってユーザーに感染する点が特徴です。

前回のブログでは、Jnanabot の各コンポーネントについて概要を紹介しました。その後の解析で、各コンポーネントの詳細が明らかになってきました。

Facebook コンポーネント

Jnanabot で最も重要なコンポーネントです。ユーザーのプロファイルにある友人全員に、悪質なリンクの記載されたメッセージが送信され、これがこの脅威の主な感染経路になっています。私たちが解析したサンプルは、以下のメッセージを投稿します。

ここでは、Facebook 上の操作を実行するために Ajax の呼び出しが使われています。まず、ログインしている Facebook ユーザーの cookie を検索し、自身を認証させます。次に、以下の Ajax クエリーを利用して、ユーザーのプロファイルに登録されている友人を検索します。

ユーザーの友人リストでこれを繰り返し、4 種類の Ajax クエリーを使って上記のメッセージを友人に送信します。

このようなメッセージのリンクをクリックしてしまい、友人から Facebook メールボックスでこのメッセージを受け取ったという報告があった場合には、コンピュータが感染していると考えてください。感染を除去する手順については、こちらを参照してください。

IRC モジュール

これは Jnanabot のバックドアコンポーネントであり、侵入先のコンピュータ上で特定の処理を実行するコマンドをマスターから受信するのを待っています。マルウェアの開発者は、このモジュールの開発に Hacksoft Botnet のソースコードを使っています。Hacksoft Botnet は、アンダーグラウンドのコミュニティから無料で入手でき、Java で構築されています。開発者のこの選択は、Jnanabot 自体も Java で記述されていることを考えれば巧妙と言えます。プラットフォームに依存しない上に、コードのシームレスな統合という目的も達成できるからです。このボットが受け付けるコマンドの一部を、以下に挙げます。

  • .udpflood
  • .synflood
  • .stopfloods
  • .screenshot
  • .download [URL] [ローカルファイル名] <実行>
  • .execute
  • .sflood [ホスト] [ポート] [スレッド] [遅延] [接続]
  • .screenshot [秒] [ローカルファイル]
  • .spam [サーバー] [ポート] [チャネル] [チャネルパスワード(オプション)]
  • .mkdir [ディレクトリ]

これらのコマンドからもわかるように、この脅威は Udpflood、リモートロケーションからのファイルのダウンロードおよび実行、スクリーンショットのキャプチャ、サーバーへのスパムメッセージの送信といった処理を実行するコマンドを使って DDoS 攻撃を仕掛けることができます。

メインコンポーネント

前回のブログで説明したとおり、これは他のすべてのコンポーネントを制御するコンポーネントです。applet_hosts.txt というファイルをダウンロードする URL のリストを持ち、そのファイルに記載されたホストを使ってさらにこの脅威の他のコンポーネントをダウンロードします。

その他の機能

Jnanabot は、自身を更新し拡散させる他の機構も備えています。この脅威は「pex.bsl」という名前のファイルをダウンロードします。脅威を調査した結果、このファイルには各ファイルを更新するためのピアのホスト名が含まれています。pex.bsl ファイルは、PBEWithMD5AndDES というアルゴリズムで暗号化されています。これはパスワードベースの暗号化で、復号化に必要なパスワードも、このファイルにハードコードされています。また、1024 から 65535 の間のポート番号をランダムに生成してそのドメインに接続します。デフォルトのポート番号は 20632 です。

シマンテックでは現在このモジュールを調査中であり、詳しいことが判明し次第、このブログに続報を投稿する予定です。

Facebook のユーザーは、ブラウザを利用する際に用心し、友人から投稿または送信されたリンクであっても、疑わしい場合にはクリックしないようにしてください。

技術面でサポートしてくれた Mario Ballano 氏に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。