リモートアクセス型トロイの木馬は、ハッカーによって、ターゲットコンピュータへの不正なアクセスを許してしまうプログラムです。Java RATマルウェアは、Javaによって記述され、キーロギング、スクリーンキャプチャから、パスワードを盗み、ファイルへの不正アクセスするように設計された、トロイの木馬です。RATによって収集された情報は、攻撃者によってコントロールされているリモートサーバに転送されます。

拡散手法

JavaRATマルウェアは、不正な添付ファイルを含むスパムメールによって、接触してきます(fig 1)。

どのようにして、JavaRATは、システムに侵入するのか?

JARファイルが、実行されると、'LyOCtxhwRyz.yrDUql'というファイル名で、以下のパス上に自らをコピーします。

パス: %userprofile%\ YzQqKjGoxHz(隠しフォルダ)

例:  C:\Users\Public\YzQqKjGoxHz

このマルウェアは、以下のファイルをダウンロードします。

C:\Users\Public\YzQqKjGoxHz\ID.txt

C:\Users\Public\AppData\Local\Temp\OlfYXmVqfL9024669788070560515.reg

%temp%\Retrive2638932198378221530.vbs

%temp%/\ _0.354484486304158635925511204328476438.class

%Application Data%\Oracle\ (Javaインストールフォルダからのファイルコピーを含む)

その後以下のフォルダを生成します:

C:\Users\Public\YzQqKjGoxHz (JARファイルのような実マルウェアのコピーを含む)

C:\Users\Public\fUTkALeaTxM

マルウェアによってダウンロードされる、以下のレジストリエントリは、システムの毎起動時に動作し、システムを感染させる実行ファイルをダウンロードさせます。

このマルウェアは、セキュリティ機能や、その他の分析ツールを無効化する、以下のレジストリエントリを追加します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]

"debugger"="svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wireshark.exe]

"debugger"="svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCANNER.EXE]

"debugger"="svchost.exe"

Seqriteでの検知は?

Seqriteのリアルタイムプロテクションは、'Trojan.JAVA.Agent.JRAT' 、 'Trojan.JAVA.Agent.JJ'として、JARファイルとそのコンポーネントを検知します。

Java RATを寄せ付けない心構え

  1. 決して、差出人不明のメールに添付されているファイルやリンクをダウンロードしたり、クリックしないこと
  2. OSやアドビ、Java、ブラウザなどその他のプログラムに対する推奨アップデートを実行すること
  3. 感染したメールや、悪意あるウェブサイトに対する多層的なプロテクションを提供する、アンチウィルス製品を常に使用すること
  4. 重要なデータの定期的なバックアップ
  5. ベリファイされていない、発行元のフリーソフトウェアは、往々にしてハッカーによるマルウェア拡散ツールとして使われる傾向にあるので、正規のソフトウェア、ライセンス製品の使用を心がけること