発見日: January 16, 2008
更新日: July 11, 2013 8:22:10 AM
別名: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend]
種別: Trojan
感染サイズ: 402,952 バイト
影響を受けるシステム: Windows

Trojan.Clampi は、Ligats または Ilomo とも呼ばれるトロイの木馬で、オンラインバンキングや他の金融関連 Web サイトのログイン資格情報を盗み取ろうと試みます。

感染
Clampi は、自分自身では拡散しませんが、ネットワーク共有を介して Clampi を拡散するモジュールをダウンロードします。この脅威は、利用可能なすべてのネットワークリソースに自分自身をコピーします。これには、その時点でログオンしているユーザーがアクセスできるすべてのコンピュータも含まれます。どのような種類のファイルでも、たとえば他の関係のないマルウェアなども、この方法で利用される可能性はありますが、現時点でダウンロードされるファイルは Clampi のドロッパーです。


機能
Clampi の主要目的は、オンラインバンキングサイトの資格情報やローカルに保存された資格情報を盗み取ることです。世界各国の何百もの Web サイトが標的となります。この脅威は、目的の情報を収集すると、Internet Explorer のプロセスに自分自身を挿入して、ローカルのファイアウォールをバイパスできるようにし、収集した情報を送信し、Command and Control (C&C) サーバーからの命令を受け取るためのバックチャネルを開きます。

また、Clampi は SOCKS プロキシサーバーの役割を果たします。これにより、Clampi の作成者は、盗み取った情報を使ってバンキングおよびその他の金融関連 Web サイトに匿名で接続することができるようになり、疑わしい IP アドレスからの異常な接続を検知する可能性があるオンラインバンキングのセキュリティや監視をバイパスすることも可能になります。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ

Trojan.Clampi


ウイルス対策 (ヒューリスティック/汎用)

Trojan.Clampi!gen


侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン January 18, 2008 リビジョン 040
  • Rapid Release 最新バージョン March 23, 2017 リビジョン 037
  • Daily Certified 初回バージョン January 17, 2008 リビジョン 033
  • Daily Certified 最新バージョン March 23, 2017 リビジョン 041
  • Weekly Certified 初回リリース日 January 23, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Jarrad Shearer

発見日: January 16, 2008
更新日: July 11, 2013 8:22:10 AM
別名: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend]
種別: Trojan
感染サイズ: 402,952 バイト
影響を受けるシステム: Windows

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
1.3 特定アドレスへのアクセスのブロック
1.4 ネットワーク共有
2. 感染方法
2.1 Web サイト
2.2 ネットワーク共有
3. 機能
3.1 インストール
3.2 システムの変更
3.3 ネットワーク関連操作
3.4 バックチャネル通信
3.5 オンラインの資格情報の盗み取り
3.6 ローカルの資格情報の盗み取り
4. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
Clampi は、感染済みの Web サイトに接続したコンピュータに自動的に自分自身をダウンロードしてインストールするという、ドライブバイダウンロードとして知られるプロセスによって、コンピュータに感染しようと試みます。Norton セーフウェブ などの、URL の安全性を確認できるソフトウェアを使用することをお勧めします。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。


1.3 特定アドレスへのアクセスのブロック
ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。

  • anamality.info
  • criticalfactor.cc
  • wiredx.in
  • webmail.re-factoring.cn
  • drugs4sale.loderunner.in
  • pop3.re-factoring.cn
  • secure.loderunner.in
  • try.mojitoboom.in
  • direct.matchbox.vc
  • host.cfiflistmanager.org
  • 147.202.39.101
  • 174.142.22.51
  • 195.189.247.110
  • 195.225.236.4
  • 209.85.120.100
  • 61.153.3.48
  • 64.18.143.52
  • 66.128.55.82
  • 66.199.237.3
  • 66.225.237.140
  • 66.7.197.104
  • 66.96.234.5
  • 66.98.144.21
  • 66.98.153.17
  • 67.15.150.130
  • 67.15.161.131
  • 67.15.236.244
  • 69.172.130.201
  • 69.57.140.18
  • 70.84.236.194
  • 72.233.28.167
  • 72.29.66.235
  • 78.108.183.225
  • 78.109.29.129
  • 78.109.30.213
  • 78.109.31.54
  • 78.47.214.117
  • 78.47.61.229
  • 78.47.61.232
  • 83.175.218.163
  • 84.16.229.188
  • 87.118.101.27
  • 87.118.88.30
  • 92.48.96.229
  • 94.75.221.70


1.4 ネットワーク共有
この脅威は、共有を使用して大規模なネットワーク内に拡散することも確認されています。この脅威からコンピュータを保護するために、次の対応策を実施してください。
  • すべてのネットワーク共有が、必要な場合のみ有効になっていることを確認します。
  • 強力なパスワードを使用して、共有フォルダとアカウントを保護します。強固なパスワードには、8 文字以上の文字を使います。数字、大文字と小文字の英字、1 つ以上の記号を組み合わせて使用します。日常的に使われる単語は、辞書攻撃によって容易に解読される可能性があるため、使用しないようにします。
  • 自動実行機能を無効にし、ネットワークドライブが開かれているときに自動的に投下されたファイルが実行されるのを阻止します。
  • Symantec Endpoint Protection 11 以降のユーザーは、ソフトウェアを設定して PsExec の実行を阻止することができます。「SEP 11.0 のアプリケーションとデバイス制御の設定方法」に記載された手順を参照して、MD5 ハッシュ値「0x9178451979c2192c71eb286de3e1b2f7」を使用してください。



2. 感染方法
Clampi は、自分自身では拡散しませんが、ネットワーク共有を介して Clampi を拡散するモジュールをダウンロードします。このモジュールは、正規のソフトウェアツールを使って、利用可能なすべてのネットワークリソースに Clampi をコピーして実行します。これには、現在ログオンしているユーザーがアクセス可能なすべてのコンピュータが含まれます。

現時点では、このペイロードは Clampi のドロッパーですが、攻撃者の設定次第で変化する可能性があります。これは、実際に SPREAD モジュール (詳しくは「3.3 ネットワーク関連操作」を参照してください) が拡散に使用されることを意味します。ただし、ペイロードファイルは、Clampi の作成者によって開発されたものや、ペイパーインストール方式で配布された実行可能ファイルなど、どのような実行可能ファイルにでも置き換えられます。


2.1 Web サイト
次のアドレスは、この脅威ファミリーをホスト、または感染を促進することが確認されています。
  • anamality.info
  • criticalfactor.cc
  • wiredx.in
  • webmail.re-factoring.cn
  • drugs4sale.loderunner.in
  • pop3.re-factoring.cn
  • secure.loderunner.in
  • try.mojitoboom.in
  • direct.matchbox.vc
  • host.cfiflistmanager.org
  • 147.202.39.101
  • 174.142.22.51
  • 195.189.247.110
  • 195.225.236.4
  • 209.85.120.100
  • 61.153.3.48
  • 64.18.143.52
  • 66.128.55.82
  • 66.199.237.3
  • 66.225.237.140
  • 66.7.197.104
  • 66.96.234.5
  • 66.98.144.21
  • 66.98.153.17
  • 67.15.150.130
  • 67.15.161.131
  • 67.15.236.244
  • 69.172.130.201
  • 69.57.140.18
  • 70.84.236.194
  • 72.233.28.167
  • 72.29.66.235
  • 78.108.183.225
  • 78.109.29.129
  • 78.109.30.213
  • 78.109.31.54
  • 78.47.214.117
  • 78.47.61.229
  • 78.47.61.232
  • 83.175.218.163
  • 84.16.229.188
  • 87.118.101.27
  • 87.118.88.30
  • 92.48.96.229
  • 94.75.221.70


2.2 ネットワーク共有
この脅威は、リモート共有にプロセスをコピーして実行するように設計された正規のソフトウェアツール psexec を投下するモジュールをダウンロードします。このモジュールは次の 2 つのファイルを投下します。
  • psexec.exe - ローカルまたはリモートでプロセスを実行するために使用されるコマンドラインツール。%Temp% フォルダに投下されます。
  • psexesvc.exe - Service Manager で使用されるラッパー。%Windir% フォルダに投下されます。
この 2 つの実行可能ファイルが投下されると、3 つ目の実行可能ファイルを実行します。これは、Command and Control サーバーによって事前に送信され、レジストリサブキー HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings のレジストリ値 "N" の下に (通常は Clampi) 格納されます。

このファイルは、リモートネットワーク共有を介して拡散される Clampi です。このファイルは、レジストリから抽出され、ランダムに名前が付けられたファイルとして保存されます (次のペイロードファイルと見なされます)。

Command and Control サーバーから拡散の命令を受け取ると、次のプロセスが定期的に実行されます。
psexec.exe -accepteula -c -d \\* [ペイロードのファイル名] install
[ペイロードのファイル名] install
(Service Manager を介して)

上記の Psexec コマンドは、アクセス可能なすべてのネットワークリソース (\\*) にペイロードファイルをコピー (-c) して非対話的に実行 (-d) するようにツールに命令します。-accepteula パラメータは、ユーザーに自分の動作を気付かれることなく実行できるように、初回実行時に標準の EULA を表示しないように psexec に指示します。



3. 機能


3.1 インストール
Clampi は、ドライブバイダウンロードを介してコンピュータに感染することが確認されています。 ユーザーがエクスプロイトによって侵害された Web サイトを訪問すると、任意の実行可能ファイルが秘かにコンピュータにインストールされます。

Clampi が実行されると、次のいずれかのロケーションに自分自身をコピーします。
  • %Temp%\[オリジナルのファイル名].exe
  • %System%\regscan.exe
  • %UserProfile%\Application Data\svchosts.exe
  • %UserProfile%\Application Data\taskmon.exe
  • %UserProfile%\Application Data\rundll.exe
  • %UserProfile%\Application Data\service.exe
  • %UserProfile%\Application Data\sound.exe
  • %UserProfile%\Application Data\upnpsvc.exe
  • %UserProfile%\Application Data\lsas.exe
  • %UserProfile%\Application Data\logon.exe
  • %UserProfile%\Application Data\helper.exe
  • %UserProfile%\Application Data\event.exe
  • %UserProfile%\Application Data\dumpreport.exe
  • %UserProfile%\Application Data\msiexeca.exe

注意: このトロイの木馬は、投下されたファイルのタイムスタンプを次のファイルと一致するように改ざんします。
%System%\Kernel32.dll

次に、このトロイの木馬は次のレジストリエントリを作成して、Windows が起動されるたびに自分自身が実行されるようにします。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[ランダムな名前]" = "[トロイの木馬へのパス]"

注意: ランダムに名前が付けられるレジストリキーの値とパスの組み合わせの例を次に示します。
  • Svchosts—%UserProfile%\Application Data\svchosts.exe
  • TaskMon—%UserProfile%\Application Data\taskmon.exe
  • RunDll—%UserProfile%\Application Data\rundll.exe
  • System—%UserProfile%\Application Data\service.exe
  • Sound—%UserProfile%\Application Data\sound.exe
  • UPNP—%UserProfile%\Application Data\upnpsvc.exe
  • lsass—%UserProfile%\Application Data\lsas.exe
  • Init—%UserProfile%\Application Data\logon.exe
  • Windows—%UserProfile%\Application Data\helper.exe
  • EventLog—%UserProfile%\Application Data\event.exe
  • CrashDump—%UserProfile%\Application Data\dumpreport.exe
  • Setup—%UserProfile%\Application Data\msiexeca.exe
  • Regscan—%System%\regscan.exe

Clampi は、次のキーを含む追加のレジストリキーをいくつか作成します。

Clampi のバージョン
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[8 桁の文字列]"

命令と制御サーバーのリスト
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[16 進の文字列]"


暗号化キー
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "[16 進の文字列]"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "[数字]"

一意のマシン ID
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[バイナリデータ]"

ダウンロードされるモジュール
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[2 桁の 16 進数]" = "[バイナリデータ]"

拡散用バイナリ (通常 Clampi)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"N" = "[バイナリデータ]"

その後、Clampi は追加のモジュールのダウンロードを開始します (モジュールの詳細については「3.3 ネットワーク関連操作」を参照してください)。 Clampi が実行されるたびにモジュールがダウンロードされないように、それらは「Mxx」という名前の値でレジストリに格納されます。「xx」は、現在のモジュール数を示す 0 から始まる数字です (例「M02」)。モジュールは、実際には DLL ファイルで、暗号化も圧縮もされず、メインの Clampi バイナリによってレジストリからメモリに直接読み込まれて実行されます。そのため、これらのモジュールはファイルとしてディスクに保存されることはありません。


3.2 システムの変更
この脅威ファミリーのメンバーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。


作成されるファイルまたはフォルダ
次の 1 つ以上のファイルが作成されます。
  • %Temp%\[オリジナルのファイル名].exe
  • %System%\regscan.exe
  • %UserProfile%\Application Data\svchosts.exe
  • %UserProfile%\Application Data\taskmon.exe
  • %UserProfile%\Application Data\rundll.exe
  • %UserProfile%\Application Data\service.exe
  • %UserProfile%\Application Data\sound.exe
  • %UserProfile%\Application Data\upnpsvc.exe
  • %UserProfile%\Application Data\lsas.exe
  • %UserProfile%\Application Data\logon.exe
  • %UserProfile%\Application Data\helper.exe
  • %UserProfile%\Application Data\event.exe
  • %UserProfile%\Application Data\dumpreport.exe
  • %UserProfile%\Application Data\msiexeca.exe


    削除されるファイルまたはフォルダ

    なし


    変更されるファイルまたはフォルダ
    なし


    作成されるレジストリサブキーまたはレジストリエントリ
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[ランダムな名前]" = "[トロイの木馬のパス]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[8 桁の文字列]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[16 進の文字列]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "[16 進の文字列]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "[数字]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[バイナリデータ]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[2 桁の 16 進数]" = "[バイナリデータ]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"N" = "[バイナリデータ]"


    削除されるレジストリサブキーまたはレジストリエントリ
    なし


    変更されるレジストリサブキーまたはレジストリエントリ (最終値)
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Use FormSuggest" = "true"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"FormSuggest_Passwords" = "true"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"FormSuggest_PW_Ask" = "no"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete\"AutoSuggest" = "true"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"POP3 Prompt for Password" = "0"


    プロセス

    iexplore.exe (コードの挿入)


    3.3 ネットワーク関連操作
    この脅威は、次のネットワーク関連操作を実行する可能性があります。


    ダウンロード
    Clampi は、悪質な Web サイトに接続して、追加のコンポーネントをダウンロードしようと試みます。次のネットワークアドレスに接続して侵入先のコンピュータにコンポーネントをダウンロードすることが確認されています。
    • anamality.info
    • criticalfactor.cc
    • wiredx.in
    • webmail.re-factoring.cn
    • drugs4sale.loderunner.in
    • pop3.re-factoring.cn
    • secure.loderunner.in
    • try.mojitoboom.in
    • direct.matchbox.vc
    • host.cfiflistmanager.org
    • 147.202.39.101
    • 174.142.22.51
    • 195.189.247.110
    • 195.225.236.4
    • 209.85.120.100
    • 61.153.3.48
    • 64.18.143.52
    • 66.128.55.82
    • 66.199.237.3
    • 66.225.237.140
    • 66.7.197.104
    • 66.96.234.5
    • 66.98.144.21
    • 66.98.153.17
    • 67.15.150.130
    • 67.15.161.131
    • 67.15.236.244
    • 69.172.130.201
    • 69.57.140.18
    • 70.84.236.194
    • 72.233.28.167
    • 72.29.66.235
    • 78.108.183.225
    • 78.109.29.129
    • 78.109.30.213
    • 78.109.31.54
    • 78.47.214.117
    • 78.47.61.229
    • 78.47.61.232
    • 83.175.218.163
    • 84.16.229.188
    • 87.118.101.27
    • 87.118.88.30
    • 92.48.96.229
    • 94.75.221.70

    ダウンロードされたコンポーネントは暗号化されて次のレジストリエントリに格納されます。
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[2 桁の 16 進数]" = "[バイナリデータ]"

    コンポーネントは次のモジュールで構成されています。
    • SOCKS - SOCKS プロキシ
    • PROT - PSTORE の資格情報 (通常、Web ブラウザの使用時に保存される資格情報を含む) を盗み取る
    • LOGGER - オンライン資格情報を盗み取る
    • LOGGEREXT - セキュリティが強化された Web サイトのオンライン資格情報の盗み取りを支援する
    • SPREAD - オープンネットワークの共有を使ってネットワーク内のコンピュータに Clampi を拡散する
    • ACCOUNTS - インスタントメッセージや FTP クライアントなどのさまざまなアプリケーション用にローカルに保存された資格情報を盗み取る
    • INFO - 全般的なシステム情報を収集して送信する

    また、Clampi は 8 番目のモジュールを KERNEL と呼びます。これは自分自身のコピーです。


    アップロード
    侵入先のコンピュータから収集された機密情報は、リモートコンピュータにアップロードされます。


    その他のネットワーク関連操作


    ファイアウォールのバイパス
    Clampi は、Internet Explorer に自身のネットワーキングコードを挿入して、侵入先のコンピュータのローカルのファイアウォールをバイパスしようと試みます。このコードにより、ブラウザがアウトバウンド TCP ポート 80 を使用できるようになるため、すべての標準のファイアウォールの設定で Web アクセスが許可されます。

    Clampi は、API プロキシを実装します。スタブコードはこの API プロキシに挿入され、必要に応じて Clampi に代わって API を実行する Internet Explorer で実行されます。 Clampi が Command and Control サーバーに情報を送信する必要があるとき、この API プロキシを使用します。

    Clampi が実行されるとすぐに、Internet Explorer のインスタンスを作成します。Internet Explorer ウィンドウは隠され、プライマリスレッドは中断されます。IE のインスタンスは、shellcode 0 という名前のシェルコードを含むコマンドラインによって開始されます。



    続いて Clampi は、Internet Explorer に GetCommandLineA をポイントするスレッドを挿入します。このスレッドの実行により、IE のメモリ空間におけるシェルコードの位置が取得されます。
    その後 2 つ目のリモートスレッドが作成され、shellcode 0 を実行します。


    SOCKS プロキシ
    SOCKS プロキシサーバーは、コンピュータ間でトラフィックを渡して接続の中継を行います。このサーバーのコードが Internet Explorer のインスタンスに挿入され、すべてのローカルのファイアウォールをバイパスできるようになります。その後、5000 以上のランダムな TCP ポートで着信接続を待ち受けます。SOCKS モジュールは、制御サーバーからの命令に対する応答でアクティブになります。その後、クライアントはインバウンド接続を待ち受けるポートを Command and Control サーバーに送信します。




    Clampi の作成者は、侵害された資格情報を使って資金移動を実行するためにプロキシサーバーを使用します。このプロキシにより、匿名での操作が可能になり、疑わしい IP アドレスからの異常な接続を検知する可能性があるオンラインバンキングのセキュリティや監視をバイパスできるようになります。


    3.4 バックチャネル通信
    Clampi は、次のレジストリサブキーにリストされたゲートウェイサーバーのいずれかに接続します。HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\GatesList

    これらのサーバーは、Nginx Web サーバーを実行して Command and Control サーバーの役割を果たし、Clampi によって侵害されたコンピュータに指示を与え、Clampi が侵害されたホストから収集した情報を回収します。

    クライアントは、POST 要求を使って盗み取った情報を送信したり、次の指示を求めるためにサーバーに問い合わせます。これに対して、サーバーは標準の HTTP/200 応答を送信します。

    Clampi の POST 要求は、プレーンな ASCII 形式で、次のような構造です。
    o=[オペレーション]&s=[クライアント_ID]&b=[データ_チャンク]

    説明:
    • [オペレーション] フィールドは、i、a、c、d、u のいずれかの単一文字です。
    • [クライアント_ID] フィールドは、16 文字の長さで、侵入先のコンピュータを特定する、セッションごとに異なるランダムな ID が含まれます。
    • [データ_チャンク] には、ペイロードが含まれます。Base64 アルゴリズムを変化させた方式でエンコードされます。また、Blowfish ECB という対称暗号化アルゴリズムで暗号化され、Blowfish で使用できる最も長い 56 バイトのキーが使われています。




    まず、クライアントは 2 つのクエリー "o=i" (Initiate) と "o=a" を送信して、接続を確立します。この Initiate クエリーには、256 バイトのチャンクが含まれ、これは、後で Blowfish 暗号化で使用されるエンコード済みのセッションキーであると考えられます。この 2 つの操作は、各セッションで 1 度だけ実行されます。

    この 2 つのクエリーが実行されると、暗号化された通信経路が確立されます。その後は、データチャンクは Blowfish を使って暗号化されます。

    続いて、"o=c" (Contact) と "o=d" (Data) クエリーの交換が行われます。Contact クエリーにはクライアント ID だけが含まれ、データチャンクは含まれません。これは、サーバーに対して単に自分の存在と次の指示を待っていることを知らせます。 Contact クエリーに対するサーバーの応答には、実行するトランザクションを識別する 4 バイトの ID とクライアントに次の処理を命令するコードが含まれます。

    通常、サーバーはクライアントに他のモジュールをロードするように命令します。クライアントがそれらを保有していない場合は、後で HTTP 応答で送信されます。




    盗み取られたデータもデータクエリーで送信されます。たとえば、PROT モジュールで盗み取られたパスワードやログイン資格情報は、Unicode、バイナリ-ASCII 形式でエンコードされて送信されます。



    オンラインバンキング情報も、同様の方法で送信されます。次のインスタンスで、バンキングサイトに送信されたデータがブラウザ内で傍受され (SSL 暗号化の前に)、Referrer、Host、HTTP method などの他のメタデータ項目とともにゲートウェイサーバーに送信されます。
    S=online.bankof[中略].com
    P=443
    M=POST
    O=/ib/securebin/navwebdll.dll/webtellermgr/PWB001
    H=Referrer: https://online.bankof[中略].com/ib/securehtm/boc-ib/ebanklogin.htm\r\nAccept-Language: en-us\r\nContent-Type: application/x-www-form-urlencoded\r\n
    D=TxnName=SignOn&resolution=924x716&browser=ie&CustomerID=4158896&PIN=475823

    標準の HTTP と強固な暗号化を使用し、クライアントの機能をモジュールによって利用することで、Clampi の通信モデルはシンプルでありながら、非常に効率的に行われます。


    3.5 オンライン資格情報の盗み取り
    Trojan.Clampi の主要機能は、銀行関連の資格情報を盗み取ることです。これは、LOGGER および LOGGEREXT モジュールによって実現されます。復号された LOGGER モジュールのデータを次に示します (元のデータは圧縮されていました)。




    LOGGER モジュールは Internet Explorer にコードを挿入し、Internet Explorer が Web ページを開くために使用する Windows の標準 DLL、urlmon.dll によってインポートされるいくつかの API をフックします。これらのフックにより、コードの実行が Clampi によって挿入されたコードに誘導されます。フックされるルーチンを次に示します。
    • InternetConnectA
    • InternetOpenA
    • InternetSetStatusCallbackA
    • InternetReadFileExA
    • InternetOpenUrlA
    • InternetCrackUrlA
    • InternetReadFile
    • InternetWriteFile
    • HttpOpenRequestA
    • InternetSendRequestA
    • HttpSendRequestExA
    • InternetQueryOptionA
    • InternetQueryDataAvailable
    • InternetCloseHandle

    ユーザーが Web ページを訪問するたびに、Clampi は挿入したコードを使用して、そのサイトがマッチリストに存在するかどうかを確認します。一致するサイトが見つかると、その金融関連 Web サイトに送信されるデータは Clampi のゲートウェイサーバーにも送信され、Clampi は大量のログイン資格情報およびその他の機密データを盗み取ることが可能になります。

    このマッチリストは、標的となるサイトの URL の一部の巡回冗長検査 (CRC) として保存されます。挿入されたコードは、カレントの URL の CRC を計算し、その CRC をサーバーから送信されたデータファイルで見つかったリストと比較します。プレーンテキストの URL ではなく CRC が使用される理由は次のとおりです。
    • プレーンテキストで URL を保存すると瞬時に疑いを持たれる可能性があり、CRC ではこれを回避できる。
    • 大量の URL に対するパターンマッチングは、CRC を使うと高速に処理できる。
    • CRC は完全な URL よりも小さいスペースに保存できる。
    • CRC は基本的に一方向性関数であるため、CRC から URL への逆計算は困難である。つまり、特定の Web サイトが監視されているかどうかは簡単に特定できても、監視されている Web サイトを完全にリストアップすることはできない。

    現在 LOGGER データファイルには 4,600 個以上の CRC が存在し、動的に更新されています。
    一方向性の CRC 関数を使用しましたが、シマンテックではほとんどの URL を逆計算して、どのサイトが標的にされているかを確認しました。このリストには、主要銀行やその他の金融機関、オンライン決済サイトなどのほか、アクセス数の多いソーシャル Web サイト、Web メール、およびセキュリティベンダーのポータルなども含まれていました。

    世界各国からのドメインには、120 を超えるトップレベルドメイン (TLD) が含まれます。その大半 (45%) が、米国に基盤を置く .com ドメインです。.com、.net、.org などの国固有でないトップレベルドメイン以外では、オーストラリア (.au) とイタリア (.it) が多数を占め、次にが英国 (.uk) が続きます。




    ほとんどのサイトが金融関連の機関ですが、その他のさまざまな種類の Web サイトも標的にされています。スポットチェックを実施した結果、そのようなサイトのホームページには必ずログインフォームがあることがわかりました。作成者は、特定のアクセス数や業種などの条件に合った、何らかのログインフォーム、または「Your account」 (あなたのアカウント) などの文字列がホームページにあるサイトを Web で機械的に探したと考えられます。

    いくつかのオンラインバンキングサイトでは、強化されたセキュリティ技法を採用しています。あるバンキングサイトでは、クライアント側 JavaScript を使って、ネットワーク (LOGGER モジュールがフックする) に送信する前にユーザーの個人情報を前処理します。たとえば、PIN 番号の代わりに入力された PIN 番号のハッシュが送信される可能性があります。これにより、新たなセキュリティレイヤーが追加され、マルウェアが SSL 通信経路の一端でネットワークトラフィックを盗聴するのを阻止できます。それを回避するために、Clampi の作成者は LOGGEREXT (Logger Extended の短縮形) という名前の別のモジュールを作成しました。

    このモジュールは、標的となる Web ページ内の JavaScript スタブを置き換えます。置き換えられるコードは、他の JavaScript 関数の代わりに呼び出される Win32 のフックに似ていて、何らかの処理を実行した後、オリジナルの関数を呼び出します。

    標的となるページ、オリジナルの JavaScript スタブ、および置き換えられるコードは、別のデータファイルに保存され、LOGGEREXT モジュールによってそのアドレススペースにロードされます。

    LOGGEREXT が使用する現在のデータファイルには、78 個のエントリが含まれます。マルウェアの作成者は、15 の Web サイトを入念に分析して追加の JavaScript スタブの挿入場所とモジュールが呼び出されるタイミングを決定しました。


    URL チェックツール
    シマンテックは、あるドメインが Clampi によって標的とされているかどうかをチェックするオンライン Flash アプレット を作成しました。URL またはドメイン名 (想定されるサブドメインを含む) を入力します。たとえば、利用している銀行の URL が www.mybank.com である場合、その銀行が使用するその他の有効な組み合わせ、login.mybank.com や secure.mybank.com を試します。Clampi が使用するマッチパターンはタイプ 2 のドメインの CRC だけではありませんが、一致する URL の 99% を占めています。そのため、試行したドメインが一致しない場合でも、監視されている可能性があります。また、このアプレットは現時点での CRC をチェックするだけです。


    3.6 ローカルの資格情報の盗み取り
    Clampi は、次の 2 つの機構を利用してローカルのシステムで資格情報を探します。特別に記述された PROT というモジュールは PStore および他のロケーションを検索し、ACCOUNTS というモジュールはサードパーティのツールを使用してその他のさまざまなパスワードの保存場所を探して復号します。

    PROT モジュールは、Internet Explorer や Outlook、またはその他のアプリケーションによって保存されるユーザー資格情報を格納する Protected Storage (PStore) を含む複数のソースから個人情報を収集します。

    また、Clampi は特定のレジストリ値を設定して PStore への新しいエントリの作成を促進します。PROT モジュールは、次のレジストリエントリを設定します。

    オートコンプリートを有効にする
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Use FormSuggest" = "true"

    Internet Explorer にユーザー名とパスワードを自動的に入力させる パスワードのオートコンプリートを有効にすることは、PStore に保存されることを意味します。
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"FormSuggest_Passwords" = "true"

    Windows のエクスプローラにネットワーク共有情報を保存させます。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"FormSuggest_PW_Ask" = "no"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete\"AutoSuggest" = "true"

    Outlook にメールアカウントとパスワードを PStore に保存させます。
    HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"POP3 Prompt for Password" = "0"

    また、PROT モジュールは、次のアプリケーションのライセンスや登録情報を盗み取ります。
    • Microsoft Office 2007
    • Adobe Creative Suite
    • Corel Painter 10
    • Adobe FlashPlayer
    • Sony SoundForge

    さらに、このモジュールは、次のレジストリサブキーを開き、そのサブキーを表示して、「DisplayName」エントリの値をクエリーすることにより、インストール済みのアプリケーションのリストを取得することができます。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

    Clampi に使用される 2 つ目の方法は、ACOUNTS モジュールによって実行されます。これは、パスワードやその他の情報を回復するための商用アプリケーション NsaSoft SpotAuditor のドロッパーです。

    このモジュールは、%Temp% フォルダに SpotAuditor を投下し、隠しウィンドウでそれを実行します。Audit Mode のサブウィンドウ、SpotAuditor ウィンドウを検索し、このウィンドウに WM_COMMAND メッセージを送信することにより、スキャンを開始します。

    その後、有効な WM_Xxx メッセージを送信し、プログラムのメモリイメージを読み込むことにより、スキャン結果が収集されます。

    その結果、Clampi はさまざまなソフトウェアやユーティリティから PStore やレジストリに格納されていないパスワードを収集できるようになります。

    NsaSoft SpotAuditor は、次のアプリケーションのパスワードを回復できると公表されています。
    • Internet Explorer 7
    • Internet Explorer 6
    • Mozilla Firefox
    • Opera
    • MSN Messenger 6.0 - 7.5 および Windows Live Messenger 8
    • Windows メッセンジャー
    • Dialup、RAS、VPN
    • Outlook Express および Microsoft Office Outlook
    • Remote Desktop
    • ICQ
    • Trillian
    • Miranda IM
    • Google Talk (GTalk)
    • Google Desktop
    • Camfrog Video Chat および Easy Web Cam
    • VNC 4.xxx
    • WinProxy Administrator
    • Total Commander (Windows Commander)
    • CoffeeCup Direct FTP
    • IpSwitch Messenger、IpSwitch Messenger、IM server、 IMail server、 WS_FTP
    • SmartFTP
    • FileZilla
    • FTP Navigator
    • 32bit FTP
    • WebDrive FTP
    • FTP Control
    • DeluxeFtp
    • AutoFTP
    • FTP Voyager
    • SecureFX
    • Ftp Now
    • Core FTP
    • FFFTP
    • Internet Download Manager
    • &RQ

    この日付が収集されると、Command and Control サーバーに送信されます。



    4. 追加情報
    この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

    推奨する感染予防策

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    記述: Jarrad Shearer

    発見日: January 16, 2008
    更新日: July 11, 2013 8:22:10 AM
    別名: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend]
    種別: Trojan
    感染サイズ: 402,952 バイト
    影響を受けるシステム: Windows

    お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。 次に進む前に、 Symantec Full System Scan User Guidehttp://www.symantec.com/business/theme.jsp?themeid=full-system-scan (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。 Norton (個人向け) 製品のお客様 お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。 駆除ツール ノートンパワーイレイサーhttp://security.symantec.com/nbrt/npe.aspx?lcid=1041 ノートンブータブルリカバリツール (ノートンパワーイレイサーでリスクを駆除できなかった場合)http://security.symantec.com/nbrt/nbrt.aspx?lcid=1041 感染した Windows システムファイルがある場合は、 Windows のインストール CD を使用してファイルの置き換えhttp://jp.norton.com/support/kb/web_view.jsp?wv_type=public_web&docurl=20101021151043JPが必要な場合があります。 感染のリスクを軽減する方法 感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。 オペレーティングシステムの更新による脆弱性の修正http://jp.norton.com/security_response/vulnerabilities.jsp ファイル共有の保護http://jp.norton.com/security_response/filesharingprotection.jsp マイクロソフトサポート技術情報 - 967715 - Windows の自動実行機能を無効にする方法http://support.microsoft.com/default.aspx?scid=kb;ja;967715 インスタントメッセージに関するベストプラクティスhttp://jp.norton.com/security_response/safeguardim.jsp Web の閲覧に関するベストプラクティスhttp://jp.norton.com/security_response/browsewebsafely.jsp 電子メールに関するベストプラクティスhttp://jp.norton.com/security_response/secureemail.jsp ビジネス (企業、法人向け) 製品のお客様 お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。 疑わしいファイルの特定と提出 提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。 SEP サポートツールの Load Point Analysis 機能で疑わしいファイルを探す方法http://www.symantec.com/business/support/index?page=content&id=TECH141402&locale=ja_JP How to Use the Web Submission Process to Submit Suspicious Fileshttp://www.symantec.com/business/support/index?page=content&id=TECH102419&locale=en_US (英語) 駆除ツール Symantec Endpoint Protection Support Tool で Symantec Power Eraser を実行するhttp://www.symantec.com/business/support/index?page=content&id=TECH105414&locale=ja_JP Symantec Power Eraser Overview (英語)http://www.symantec.com/connect/videos/power-eraser-overview Symantec Power Eraser ユーザーガイドhttp://www.symantec.com/ja/jp/business/theme.jsp?themeid=spe-user-guide 感染した Windows システムファイルがある場合は、「 How to use the Symantec Endpoint Recovery Tool to replace an infected filehttp://www.symantec.com/business/support/index?page=content&id=HOWTO41831&locale=en_US」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。 感染のリスクを軽減する方法 感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。 セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止するhttp://www.symantec.com/ja/jp/business/theme.jsp?themeid=stopping_malware 手動による駆除 以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。 1. システムの完全スキャンの実行 Symantec Full System Scan User Guide (英語)http://www.symantec.com/business/theme.jsp?themeid=full-system-scan 2. レジストリの設定の復元 レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

    記述: Jarrad Shearer