トロイの木馬を実行する Badtrans

この記事のURLhttp://japan.internet.com/webtech/20011129/5.html

シマンテックに引き続き、 トリップワイヤ・ジャパン株式会社でも、 2001年11月23日に検出されたワーム「W32.Badtrans.B@mm」に対し、 引き続き警戒するよう呼びかけている。

トリップワイヤによると、このワームの特徴は以下のようだ。

W32.Badtrans.B@mm は、 数種類のファイル名を使った電子メールの添付ファイルで自分自身を送りつける MAPI ワーム。 WindowsSystemKdll.dll. のファイルを生成し、 このファイルからキー操作を記録する機能を利用する。

パスワードやログインに関する情報、 機密情報などのキー操作を記録すると、 特定のインターネットサイトや電子メールのアドレスに送信する。

このワームは二重の拡張子を感染ファイルに付加し、 1つ目は「.doc」「.mp3」「.zip」のいずれかで、 2つ目は「.pif」「.scr」のいずれか。 最終的に生成されるファイル名は file.doc.pif か file.mp3.scr になる。

%System%Protocol.dll ファイルに電子メールのアドレスを書き込み、 自分が送信したアドレスを確認、 また、電子メールの送信を完了した後、 レジストリ キーに以下の値を追加する。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce: ・ Kernel32 ・ kernel32.exe

このワームは、 パスワードあるいは他のシステムレベルのセキュリティにアクセスするので、 社内セキュリティを脅かす。 さらに、インターネット処理コンポーネントに存在する穴を探し出し、 悪意のあるプログラムをインストールしようとする。 その結果、システムはインターネットを通じて誰かにリモート コントロールされるようになる。

同社では、 Tripwire for Servers ユーザーに対し、 kernel32.exe ファイルの追加や修正の形跡がないか、 C: WinntSystem32 フォルダーに疑わしいファイルがないか、 上記レジストリ、エントリの修正がないか、 protocol.dll ファイルへ変更されてないか、 などを確認するよう、呼びかけている。

トリップワイヤ・ジャパンは2000年4月、 米国 Tripwire の海外初の現地法人として設立された。 インターネット セキュリティやネットワーク管理を情報資産監視レイヤで行う 「Tripwire 商用版」の販売・開発・サポートを行っている。

ソフォスでも、同様の警告を出している。

ソフォスによれば、 添付ファイルが実行されると、 「File data corrupt probably due to bad data transmission or bad disk access.」 というメッセージが表示され、 Windows ディレクトリに INETD.EXE というファイル名で自身をコピーし、 このファイルが Windows のスタートアップで実行されるよう win.ini ファイルを変更するそうだ。

これはパスワードを盗むトロイの木馬、 Troj/Keylog-C である kern32.exe を Windows のシステムディレクトリに置き、 これが Windows のスタートアップで実行されるよう、レジストリを変更してしまう。