logo

Doctor Webによる「WannaCry」トロイの木馬についての追加報告

5月12日金曜日、「WannaCry」として知られる危険なワームが世界各地で多くのコンピューターを感染させました。Doctor Webでは、スペシャリストによる同マルウェアの調査を現在も続けていますが、現時点で明らかになっているその結果の一部を本記事にてご紹介します。

「Wannacry」と呼ばれるこのマルウェアはユーザーの介入なしにMicrosoft Windowsコンピューターを感染させるネットワークワームです。Dr.Web Anti-virusはこのワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。2017年5月12日の午前10時より拡散され始めたこのワームは、ランダムなIPアドレスを持った、ローカルネットワーク内にある全てのコンピューターとリモートインターネットサーバーを攻撃し、445番ポートへの接続確立を試みます。1台のコンピューターを感染させると、他のコンピューターへと感染を広げようとします。このことが、今回の大規模な拡散に繋がっています。この悪意のあるプログラムは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。

ネットワークワーム

起動されると、ワームはトロイの木馬内で指定されているドメインを持つリモートサーバーに対してリクエストを送信し、応答を受け取ると動作を終了します。一部のメディアでは、このドメインを登録することでWannaCryの拡散を止めることができると報道しています。トロイの木馬が拡散されるまで、このドメインはサイバー犯罪者のミスによって未登録となっていました。しかしながら、今回の解析の結果からは、このトロイの木馬はローカルネットワークにアクセスしているがインターネットには接続されていないコンピューターを感染させ、それらのコンピューター上で動作することが可能であるということが示唆されています。拡散が終了したと考えるのは早計に過ぎるといえるでしょう。

このトロイの木馬は起動されると「mssecsvc2.0」という名のシステムサービスとして自身を登録します。また、コマンドラインパラメータに対して敏感に反応し、引数が指定されると、エラー発生に備えてサービスの自動起動を有効にしようと試みます。システムサービスとして起動されてから24時間以内にワームは自動的に動作を終了します。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。