ウイルススキャナ搭載のトロイの木馬「SpamThru」

SpamThruは独自のウイルススキャナを搭載し、感染マシン上で自分以外のマルウェアを見つけ出しては削除する。

» 2006年10月23日 18時11分 公開
[Ryan Naraine,eWEEK]
eWEEK

 ベテランマルウェア研究者ジョー・スチュアート氏は、感染マシンからスパムを送信する「SpamThru」というトロイの木馬を調べるまで、目新しいマルウェアに出会うことはないだろうと確信していた。

 このトロイの木馬はP2P技術を使って乗っ取ったコンピュータにコマンドを送り、独自のアンチウイルススキャナを備え、商用ソフトに匹敵するレベルの複雑さと高度さを持っている。

 「こうした機能を持ったトロイの木馬を初めて見た。オリジナリティーで得点を上げている」と米SecureWorksの上級セキュリティ研究者のスチュアート氏は語る。

 「(マルウェアが)すべてのシステムリソースを自分用に確保しておくのは簡単だ。そうすれば、大量メール送信型ウイルスなどと競い合わなければならない場合に、そのウイルスが送信できるスパムの量を抑えられる」(同氏)

 既にほとんどのウイルスやトロイの木馬は、hostsファイルのアンチウイルスアップデートサイトをlocalhostアドレスに改変することで、アンチウイルスソフトがアップデートをダウンロードするのを防ごうとする機能を持つ。

 また悪意あるハッカーらは感染システムを手中に収めるために戦う中で、競合するマルウェアを排除するために、プロセスを停止させ、レジストリキーを削除し、既に自分のマルウェアが動作していると見せ掛けてほかのマルウェアをだまし、終了させるミューテックスを作成してきた。

 だが、スチュアート氏の分析で明らかになったように、SpamThruはそうした戦いを新たなレベルへと引き上げている。このトロイの木馬は、敵となり得るものに対してアンチウイルスエンジンを使っている。

 SpamThruは起動時に、作者のコマンドコントロールサーバからDLLをリクエストしてロードする。

 それから、感染したシステムの隠しディレクトリに「Kaspersky AntiVirus for WinGate」の海賊版をダウンロードする。

 ライセンスが無効あるいは期限切れという理由でKasperskyがプログラムの実行を阻止しないように、SpamThruはKaspersky DLLのメモリ内ライセンス署名チェックにパッチを当てるとスチュアート氏は説明する。

 DLLをダウンロードしてから10分後に、SpamThruはシステムをスキャンしてマルウェアを探す。この際、自分がインストールしたファイルの一部だと判断したファイルはスキップする。

 「システム上で見つかったほかのあらゆるマルウェアは、Windowsが次にブートされた時に削除されるように設定される」とスチュアート氏は付け加えた。

 同氏は初め、Kasperskyのアンチウイルススキャナの目的に混乱したという。

 「最初は、P2P経由でアップデートを送信する前に分散型スキャンとコードの改変を行うのが、永久に(アンチウイルスソフトに)検出されるのを避ける賢明な方法なのだろうという仮説を立てた」が、多くの競合するマルウェアのファイルが削除されるのを見て初めて、これは盗んだ帯域をスパム送信にフル活用するための高度な操作なのだということに気付いたと同氏は語る。

 同氏はまた、SpamThruが巧みなコマンドと制御構造を使ってシャットダウンを避けていることにも気付いた。

 SpamThruはカスタムP2Pプロトコルを使って、コントロールサーバのIPアドレスやポート、ソフトのバージョンなどの情報をほかの感染マシン(ピア)と共有する。

 「制御は中央サーバによって行われているが、コントロールサーバがシャットダウンされた場合、スパマーは少なくとも1台のピアをコントロールできれば、ほかのピアに新しいコントロールサーバの位置を伝えることができる」とスチュアート氏は説明する。

 同氏は、SpamThruのネットワークはたいてい、1台のコントロールサーバ(異なるポート番号で複数のネットワークを動かしている)、複数のテンプレートサーバ、ポート1基につき約50台のピアで構成されていることも発見した。

 ホスト間の情報共有の負荷はかなり大きく、各ポートが効率的に制御できるピアの数には限度があるようだと同氏は付け加えた。

 「われわれが調べたコントロールサーバ1台に接続された感染ホストの数は、オープンなポート全部で推定1000〜2000台だ」(同氏)

 スパマーはテンプレートベースのスパムを使い、各SpamThruクライアントをスパムエンジンとするシステムをセットアップし、スパム、ハッシュバスター(スパム対策ソフトによる検知を免れるための文字列)として使うランダムなフレーズ、ランダムな「送信者」名、送信先の数百の電子メールアドレスのリストを含むテンプレートをダウンロードする。

 テンプレートは暗号化され、チャレンジ&レスポンス方式の認証方法を使って、第三者がテンプレートサーバからテンプレートをダウンロードできないようにしている。

 スチュアート氏はまた、SpamThruが画像ベースの電子メールを遮断するスパム対策をかわすために、ランダムにGIF画像の幅や高さを変えていることも発見した。

 「マルウェアが設置した自動化されたスパムネットワークはこれまでに見たことがあるが、これはもっと高度なものの1つだ。複雑さや範囲は商用ソフトに匹敵する。明らかに、スパマーは収入レベルを維持するためにインフラにかなりの投資をしてきた」(同氏)

 同氏の分析で、SpamThruは株価をつり上げる「pump-and-dump」スパムで使われたことが分かった。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ