ソリューション 会社情報 採用情報 お問い合せ
セキュリティ トップ
ESETトップ
資料ダウンロード
ウイルス定義データベース
最新バージョン
28972
(2024/03/29 05:11)
 
セキュリティニュース
ランサムウェア・ダウンローダー「Nymaim」への対応について
[ 2013.10.30 最終更新 ]

ESETセキュリティ製品をご利用いただき、誠にありがとうございます。

以前の記事でご案内した「Win32/TrojanDownloader.Nymaim トロイの木馬」はランサムウェアとして有名ですが、一方でダウンローダーとしての役割も持っています。

  • ※ ランサムウェア:「身代金要求型不正プログラム」とも呼ばれます。ユーザーのデータを暗号化または画面をロックし、ロック解除用パスワードを入手するための金銭を要求するマルウェアのことです。
  • ※ ダウンローダー:他のマルウェアをダウンロードするためのマルウェアです。感染・侵入の第1段階として、通常のダウンローダーと同等の動作をします。

ここでは、ESET社のウイルスラボがこのマルウェアに対して行った調査結果についてご案内します。

◆ダウンローダーとしての「Nymaim」

Nymaimは、「DarkLeech」や「Black Hole」を利用し、アプリケーションの脆弱性を悪用することで、他のマルウェアをダウンロードします。最終的に、PCは偽セキュリティソフトなどのマルウェアに感染します。

図1は、「Nymaim」がインターネットからマルウェアをダウンロードしている様子です。

  • ※ 「DarkLeech」:不正に改ざんされたApacheモジュールです。DarkLeechに感染したWebサイトにアクセスすると、マルウェアが存在する不正なWebサイトにリダイレクトされます。
  • ※ 「Black Hole」:Black Hole Exploit Kit(BHEK)とも呼ばれます。アプリケーションの脆弱性を攻撃するツールキットです。

図1:「Nymaim」がインターネットからマルウェアのダウンロードを行う様子
◆「Nymaim」が行うネットワーク通信

Nymaimは、ウイルス対策ソフトの検出から逃れるために、RC4によるストリーム暗号化通信を行っています。

ネットワーク通信に用いられるTCPパケットは、大きく分けてヘッダー部とボディ部の2つで構成されています。Nymaimは、このTCPパケットのヘッダー部とボディ部をそれぞれ暗号化し、ヘッダー部にはボディ部の復号キーが格納されています。ボディ部には、Nymaimがダウンロードした他のマルウェアが格納されています。

図2は、Nymaimが行う暗号化通信を解析した結果です。


図2:「Nymaim」の暗号化通信の解析

このマルウェアは、ESET製品にて以下の通り検出されます。

■対応しているウイルス定義データベースと検出名

2013年5月9日午後4時30分頃(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。

ウイルス定義データベース:8312 (20130509)

  • Win32/TrojanDownloader.Nymaim トロイの木馬
  • Win32/TrojanDownloader.Nymaimの亜種 トロイの木馬
  • ※ 「Win32/TrojanDownloader.Nymaim.* トロイの木馬」、「Win32/TrojanDownloader.Nymaim.*の亜種 トロイの木馬」という検出名で検出される場合もあります。
    「*」には1-2文字のアルファベットが入ります。
  • ※ ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
  • ※ 今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

◆関連情報◆

ESETブログ(英語)
Nymaim: Browsing for trouble


◆参考◆

 
このページのトップへ

©Canon Marketing Japan Inc.