logo

過去にも同様の感染手法を発見

一部の報告によると、「Petya」、「Petya.A」、「ExPetya」、「WannaCry-2」としても知られる Trojan.Encoder.12544 は、OS内に侵入を果たすために税務会計ソフトMEDocのアップデートを利用しているものとしています。Doctor Webでは、悪意のあるプログラムのこのような拡散方法をこれまでにも既に確認しており、このようなことが将来において繰り返されないようにするための方法について知識を有しています。

###

Trojan.Encoder.12544 について調査を行ったセキュリティリサーチャーらは、このトロイの木馬の拡散にはウクライナで利用されている税務会計ソフト「MEDoc」のアップデートが悪用されていると報告しています。MEDocのディストリビューションキットに含まれている、主なアプリケーションのアップデートを実行するよう設計された EzVit.exe と呼ばれるツールが、 Trojan.Encoder.12544 の拡散開始時にCMDコマンドを実行していたと指摘しています。このコマンドは悪意のあるライブラリのダウンロードを実行していましたが、このライブラリ内には Trojan.Encoder.12544 の主要な機能が含まれています。この暗号化ランサムウェアはSMBプロトコルの脆弱性を利用してネットワーク経由で自動的に拡散され、Windowsユーザーのアカウントデータを盗むことから、拡散が広まるには1台が感染すれば十分であるといえます。

2012年、悪意のあるプログラム BackDoor.Dande を用いた、ロシアの薬局や製薬企業に対する攻撃がDoctor Webのセキュリティリサーチャーによって確認されました。このスパイウェア型トロイの木馬は製薬業界で使用されているプログラムから医薬品の受注に関する情報を盗むものでした。起動されると、 BackDoor.Dande はシステム内に該当するアプリケーションが存在するかどうかを確認し、存在しなかった場合は自身の動作を停止します。2800を超えるロシアの薬局や製薬企業が感染の被害に遭いました。このとこから、 BackDoor.Dande は産業スパイ目的で使用されたものと考えられます。

この続きは以下をご覧ください
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事