トレンドマイクロは28日、不正プログラム「EvilGrab」のバイナリ生成に利用する作成ツールを確認したと、公式ブログで発表した。

「EvilGrab」のビルダー(トレンドマイクロのセキュリティブログより)

「EvilGrab」は、中国や日本を主な攻撃対象とする不正プログラム。この不正プログラムに感染すると、PCの起動時に自身のコピーをインストールし、Windowsのレジストリを変更。動画やスクリーンショット、キー入力操作などの情報を取得する機能を持つ。この不正プログラムは、同社セキュリティソフトウェアでは「BKDR_EVILOGE.SM」として検出される。

今回、「BKDR_EVILOGE.SM」として検出されたファイルを解析するなかで、「EvilGrab」のバイナリ生成に利用できるビルダーが確認されたという。ビルダーには、攻撃者が情報を入力する欄があり、ポート番号および接続間隔を追加したC&Cサーバの割り当てなどが可能となっている。

このビルダーを使うと、例えばMicrosoft Word文書に偽装した「EvilGrab」のバイナリファイルなどが、容易に作成できるようになる。すでに確認されている「EvilGrab」と、このビルダーから生成された「EvilGrab」は、ほぼ同一の機能を持つことも確認したという。