Endpoint Protection

最近 Visual Basic で書かれているポリモーフィックワームである W32.Changeup についてのブログを書きましたが、今回は、W32.Changeup を拡散させている作者の目的について調査を行いました。

最近の W32.Changeup の亜種は、実行されると最初に以下のうちの 1 つのホストの IP アドレスを DNS から取得しようと試みます。

• ns1.thepicturehut.net
• ns2.thepicturehut.net
• ns3.thepicturehut.net
• ns4.thepicturehut.net

現在、これらのホストの DNS は止められていて IP アドレスを取得することができません。しかしながら、今後、Changeup の作者によって DNS の設定を変更される可能性もあります。DNS で IP アドレスが取得できた場合、W32.Changeup はその IP アドレスの TCP ポート 8000 番にアクセスします。すると、そのホストからダウンロードすべきファイルの URL を含んだデータが送られてきます。以下はそのパケットキャプチャの一部です。




受信したデータの中には以下のような文字列が含まれています。

:.dl [http]://code[REMOVED]:999/a abcdef.exe

これは、code[REMOVED].net の TCP 999 ポートから a というファイルをダウンロードして、abcdef.exe というファイル名で保存することを意味しています。なお、abcdef.exe の部分はこのホストに接続する度にランダムに変化します。

実際にこのファイルをダウンロードしてみたところ、自己抽出アーカイブのドロッパーでした。これまでに分かっている範囲では、このドロッパーは 4～6 個のファイルを落とします。また、このドロッパーファイルの中には W32.Changeup 自身のアップデートも含まれています。他には、以下のような脅威が含まれています。

• Backdoor.Tidserv
• Trojan.FakeAV
• Trojan.Zefarch
• Downloader
• Backdoor.Trojan

さらに、この中のダウンローダーは、以下のような更なる脅威をダウンロードする可能性があります。

• AVSecuritySuite
• Downloader
• Downloader.Harnig
• Infostealer
• Trojan Horse
• Trojan.Adclicker
• Trojan.FakeAV
• Trojan.Zbot
• Trojan.Zefarch

次に code[REMOVED].net というドメインについてですが、このサーバのトップページは以下のような Web ページが置かれています。


このページは明らかに Web ページの訪問者を騙すことを目的にしています。ビデオを再生するためには Adobe Flash Player 10 をインストールする必要があるというメッセージと共にダウンロードするためのリンクが備えられています。

しかし、実際、ダウンロードされるファイルは、[http]://code[REMOVED].net/flash_player.exe へのリンクであり、このファイルは上記で述べているドロッパーと同様に自己抽出アーカイブで、W32.Changeup のアップデート、および、多種の脅威のドロッパーになっています。また、このページへのアクセスを増やすためのスパムメールなども流れているようです。

これまでの調査からすると W32.Changeup の主目的は、自分自身の拡散と多種の脅威のインストールにあると思われます。大まかには、以下のような流れになっています。

1. ソーシャルエンジニアリング的な手法などを使い W32.Changeup をインストールさせる。
2. 感染先のネットワークや USB ドライブを介して大量に拡散させる。
3. 自分自身のアップデートと同時に他の脅威をインストールする。

また、一見すると関わりのない他の脅威をインストールすることが W32.Changeup の目的になっています。これは何のためか推測してみると、W32.Changeup が PPI - Pay Per Install のようなサービスを行っているのではないかと思われます。また、そうであればこれまでの調査と合致します。