| 連日報道されている遠隔操作で犯罪予告を行う不正プログラム「BKDR_SYSIE.A」について、トレンドマイクロが追跡調査を行った結果、この不正プログラムは日本語に精通した攻撃者によって作成された可能性が強いことが判明しました。 |
まず第一に、この不正プログラムのソースコード内部に「kakiko」という日本語の変数文字列を確認しました。この変数は、ソースコード内部でのみ使われているもので、「かきこ」という電子掲示板(BBS)やブログなどインターネットに書き込みをするという意味の日本語が変数として使われているのが一つの特徴です。
二つ目に、指定されたメッセージを特定の BBS に書き込みを行う関数コード内に「書きこみが終わりました」という日本語の文字列を確認しました。これは、「BKDR_SYSIE.A」による BBS への書き込み作業が完了したかどうかを攻撃者が確認する目的で用意された文字列であると推測されます。攻撃者側に表示される文字列にこのような日本語が使われているというもの特徴的です。
 |
|
|
「日本語を変数として使っている」、「日本語文字列を攻撃者の確認用に表示する」というこれらの事実から、日本人と明確に断定できないまでも、少なくとも日本語に精通しているサイバー犯罪者によって作成された可能性が極めて高いと言えます。
この不正プログラム自体は、C#言語で作成されており、「BBS にメッセージを書きこむ」という機能がプログラムのソースコードにハードコードされている点も極めて特徴的と言えます。
不正プログラム作成に当たっては、出回っている「自動作成ツール」などを使って作成されるケースも多いものの、「BKDR_SYSIE.A」のコード全体を見る限り、そのようなツールを使って開発したものではなく、作成者によって一から作り込まれているものであると言えます。一から作り込まれている可能性が高い不正プログラムであることから、ある一定のプログラミング能力を有するものによって作成されたと推測されます。
・遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」
/archives/6098