ESETセキュリティ製品をご利用いただき、誠にありがとうございます。

以前の記事でご案内した「Win32/TrojanDownloader.Nymaim トロイの木馬」はランサムウェアとして有名ですが、一方でダウンローダーとしての役割も持っています。

• ※ ランサムウェア：「身代金要求型不正プログラム」とも呼ばれます。ユーザーのデータを暗号化または画面をロックし、ロック解除用パスワードを入手するための金銭を要求するマルウェアのことです。
• ※ ダウンローダー：他のマルウェアをダウンロードするためのマルウェアです。感染・侵入の第1段階として、通常のダウンローダーと同等の動作をします。

ここでは、ESET社のウイルスラボがこのマルウェアに対して行った調査結果についてご案内します。

Nymaimは、「DarkLeech」や「Black Hole」を利用し、アプリケーションの脆弱性を悪用することで、他のマルウェアをダウンロードします。最終的に、PCは偽セキュリティソフトなどのマルウェアに感染します。

図1は、「Nymaim」がインターネットからマルウェアをダウンロードしている様子です。

• ※ 「DarkLeech」：不正に改ざんされたApacheモジュールです。DarkLeechに感染したWebサイトにアクセスすると、マルウェアが存在する不正なWebサイトにリダイレクトされます。
• ※ 「Black Hole」：Black Hole Exploit Kit(BHEK)とも呼ばれます。アプリケーションの脆弱性を攻撃するツールキットです。

Nymaimは、ウイルス対策ソフトの検出から逃れるために、RC4によるストリーム暗号化通信を行っています。

ネットワーク通信に用いられるTCPパケットは、大きく分けてヘッダー部とボディ部の2つで構成されています。Nymaimは、このTCPパケットのヘッダー部とボディ部をそれぞれ暗号化し、ヘッダー部にはボディ部の復号キーが格納されています。ボディ部には、Nymaimがダウンロードした他のマルウェアが格納されています。

図2は、Nymaimが行う暗号化通信を解析した結果です。

このマルウェアは、ESET製品にて以下の通り検出されます。

■対応しているウイルス定義データベースと検出名

2013年5月9日午後4時30分頃(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。

ウイルス定義データベース：8312 (20130509)

• Win32/TrojanDownloader.Nymaim トロイの木馬
• Win32/TrojanDownloader.Nymaimの亜種 トロイの木馬

• ※ 「Win32/TrojanDownloader.Nymaim.* トロイの木馬」、「Win32/TrojanDownloader.Nymaim.*の亜種 トロイの木馬」という検出名で検出される場合もあります。
  「*」には1-2文字のアルファベットが入ります。
• ※ ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
• ※ 今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

◆関連情報◆

◆参考◆

• パッケージ製品・ダウンロード製品（個人向け製品）をご利用のお客さま
  [ETPC40035]ウイルス定義データベースのバージョン確認方法
  [ETPC40034]ウイルス定義データベースの手動アップデート方法



• ライセンス製品（法人向け製品）をご利用のお客さま
  [ETLR40063]クライアントに適用されているウイルス定義データベースのバージョンを確認する方法（クライアントからの確認）
  [ETLR40044]クライアントに適用されているウイルス定義データベースのバージョンを確認する方法（ERACからの確認）
  [ETLR40046]ウイルス定義データベースバージョンの確認方法（ESET Remote Administratorの場合）
  [ETLC40024]ウイルス定義データベースの手動アップデート方法
  [ETLR40006]複数のクライアントに新しい設定を適用させるには？（ケース２）