ドイツの「Chaos Computer Club」が今夜、ドイツ政府により用いられたバックドア型トロイの木馬を発見したと発表した。

R2D2 backdoor trojan

  この発表は「ccc.de」で公表されたもので、同マルウェアの機能について20ページにわたる詳細な分析が行われている。PDFのレポートをダウンロード(ドイツ語)できる。

  問題のマルウェアは、DLLとカーネルドライバから成るWindowsバックドアだ。

  バックドアには、特定のアプリケーションを標的とするキーロガーが含まれている。対象となるアプリケーションは、Firefox、Skype、MSN Messenger、ICQなど。

  このバックドアは、スクリーンショットを撮り、Skypeの会話を含むオーディオ録音を目的としたコードも含んでいる。

  さらに、同バックドアは遠隔的にアップデートすることができる。接続するサーバには「83.236.140.90」や「207.158.22.134」がある。

  このバックドアを作ったのが誰なのか、そして何のために使用されたのかは分からない。

  CCCの調査結果を疑う理由は無いが、我々はこのトロイの木馬がドイツ政府により書かれたと言う事はできない。我々の知る限り、このことを確認できるのは、ドイツ政府自身以外にはない。

  政府によるバックドア、もしくは警察が「合法的な傍受」を行うトロイの木馬の検出に関するエフセキュアの包括的なポリシーについては、ここでお読み頂ける

  我々はこれまでに、政府によるバックドアであると思われるサンプルを分析したことは一度も無い。また、いかなる政府からも彼らのバックドアを検出しないよう要請されたこともない。

  とは言え、我々はこのバックドアを「Backdoor:W32/R2D2.A」として検出している。

  「R2D2」という名称は同トロイの木馬内のストリング「C3PO-r2d2-POE」に由来する。このストリングは、トロイの木馬がデータ伝送を開始するために内部で使用される。

R2D2 backdoor trojan

  我々はこれが大きなニュースになると考えている。ドイツ政府から正式な回答が出される可能性がある。

MD5 hashes:930712416770A8D5E6951F3E38548691 and D6791F5AA6239D143A22B2A15F627E72