悪名高いNeverquestトロイの木馬の新しいバージョン, 財務情報の盗難に使用, 11月に発見されました. これはVawtrackという名前で呼ばれ、いくつかのマルウェアドロッパーを介して拡散されています, Zemotはそれらの1つです. このバージョンは主に北米で普及していることが知られています, 続いてヨーロッパとアジア. Zemot Upatreファミリーの一部です, Asproxでよく使用されます / Kuluozボットネットオペレーターは、すでに影響を受けているコンピューターに追加の悪意のあるソフトウェアをフィルターに掛けます.
変更されたインストールプロセス
セキュリティの専門家, IBMTrusteerのThreatandIntelligenceグループの一部は、新しいNeverquestトロイの木馬バージョンのインストールプロセスが変更されていることを確認しました. コントロールおよびコマンドとの通信 (C&C) サーバーはTor2Webプロキシネットワークを介して実行されます. このネットワークへの接続は暗号化およびランダム化されており、解体できないため、Vawtrackトロイの木馬を追跡することはほとんど不可能です。.
この件に関するブログ投稿で、TrusteerのエンジニアであるIlyaKolmanovichは次のように述べています。: 「…Neverquest感染は複数のダウンローダーによってサポートされています, Zemotを含む, Kuluozフィッシングメールキャンペーンによって削除されました, Tor2webをプロキシとして使用してペイロードをフェッチするChaintorダウンローダー, Torネットワークでホストされています. また、ドライブバイエクスプロイトキットがNeverquestの配布をサポートしていることにも気づきました…」.
感染プロセスの変更は2つの部分で構成されます。1つは悪意のあるDLLペイロードをマシンの「%temp%」フォルダに配置し、もう1つは “zippy32.exe” コマンドラインツールから. トロイの木馬がマシン上で実行されると、悪意のあるコードに侵入し、システムから消えます。.
アンチウイルスソフトウェアのバイパス
Vawtrackの興味深い点は、ウイルス検出ツールをバイパスするためにいくつかのトリックを使用していることです. それらの1つはと呼ばれるものを持っています “定期的なランキー” –ウイルス対策ソフトウェアによって削除された場合でも、システムへのトロイの木馬の永続的な侵入を保証する手法. もう1つは「ウォッチドッグ」と呼ばれ、DLLモジュールの一部として使用されています。, マルウェアの重要なコンポーネントがマシンから削除されないようにする.
新しいNeverquestバージョンには、マシンのデスクトップのスクリーンショットやビデオを撮ることができるなどの新機能があります. また、「ポニー」モジュールが統合されています, その目的は、ブラウザに保存されている証明書を盗むことです, 電子メールおよびFTPサーバーのクレデンシャルとキー.
最新のNeverquestバージョンには、 300 世界中のターゲット, それらのすべてが金融セクターからのものではありません. それらのいくつかはゲーム用です, ソーシャルネットワークとメディア–これは、詐欺師が手段を盗むのに役立つ可能性のあるすべての情報を詐欺していることの明らかな兆候です。.
→「過去1年間に、Neverquestが進化し、その活動形態を数回変更するのを見てきました。, そして各反復で, 変更の理由は、セキュリティ製品をバイパスしようとすることです. ナイーブなアプローチを実装するセキュリティ製品は、新しい変更が調査されるまで、Neverquestが実装するすべての変更でバイパスされます. それまで, これらの製品は効果がありません。」 , TrusteerエンジニアのIlyaKolmanovichが結論.