｢カリビアンBOM｣謹製、トロイの木馬の正体

http://fraud.oops.jp/modules/bluesbb/reply.php?topic=1&sread_id=3818&post_id=23437

　その中で気になった文言の1つがこれ。

> cMovie.exe/start.ax - infected by Trojan-Clicker.Win32.HSP.a

　｢HSP｣なる文字列を含むトロイの木馬の名称とともに、「start.ax」というHSPユーザーなら誰もがピンと来るであろうファイル名。これはもしかしてHSP製？、ということで、「cMovie.exe」で検索してみたところ、「カリビアンBOM」なるサイトに注意を呼びかけるブログがヒットした。

　｢カリビアンBOM｣???、何そのサイト･･･、ということで、｢カリビアンBOM｣でGoogle検索してみたところ･･･、出るわ出るわ。ブログにエロサイトへ誘導するトラックバックを所かまわず大量投下しまくって話題になった悪質サイトのようで。そのサイトにて、このファイルを配布しているとのこと。それじゃ、ということで、そのサイトを見つけ出し、cMovie.exe を入手。早速バイナリエディタで中身を拝見〜。

　まず分かったのがHSPのバージョン2.55で組まれていること。ただ、このバージョン2.55というのは、2001年に公開された旧式タイプ。何でまたこんな古いものを使って組んでいる?、と疑問に思いつつ、エディタを適当に流していると、パックファイルとして instlks1.txt と instlks2.txt なる謎のファイルがパックされていることに気づく。疑問に思い検索してみると、ある1プログラムにぶち当たった。

　HSPのバージョン2.55で作られたプログラム｢インストールks｣。Vectorにも掲載されており、このHSP製プログラムの概要を製作者さんのサイトから引用すると、

> ソフトウェアを配布するためのソフトです。
> ・複数のファイルを１個のＥＸＥファイルにします、
>　これを起動するだけで、あらかじめ指定したとおりに全自動展開。

　このトロイの木馬(スパイウェア)は、起動時に情報を盗み出すファイル（これはHSP製でない）をいくつかの吐き出す仕組みを持っているようで、この吐き出す仕組みとしてたまたま｢インストールks｣という、悪意を持って作られたわけではないHSP製プログラムが使われていたのである。結果的には悪用された形になった｢インストールks｣。オンラインウイルススキャンのサイトで、この｢インストールks｣自体をスキャン検査してみたところ、一部が「トロイの木馬」としてばっちり誤認識。てっきりHSPで作られたトロイの木馬かと思ったら正確には｢利用された｣だけだったんですな。（−−

-----------

＊トロイの木馬 Trojan-Clicker.Win32.HSP.a (別名 TROJ_MYFTU.H) について
> http://www.sophos.co.jp/virusinfo/analyses/trojmyftuh.html
> http://www.sophos.com/virusinfo/analyses/trojmyftuh.html
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FMYFTU%2EH

＊オンラインスキャンサイトで調べたカリビアンBOM製トロイの木馬ファイルの結果。そして、このトロイの木馬の影響で、一部のアンチウイルスソフトが何の問題もないHSP 2.55製プラグラムを誤認識した結果。

■ HSP (正式名 Hot Soup Processor)
　ONION softwareが公開しているWindows向け簡易スクリプト言語。フリーウェア（無料）として公開されている。ゲームやらツールやらのアプリケーションを手軽に無料で作成開発することができ、単体で動く実行ファイルとしても出力が可能。「start.ax」は実行ファイルを作成する際に必須のオブジェクトファイル。（ゲーム作成ソフト「Hot Soup Processor」、HSP紹介ページ、HSPスクリーンショット）