cNotes 検索 一覧 カテゴリ

遠隔操作ウィルスって7,8年前に流行ったP2P界隈で流行ったマルウェアとそっくり?

Published: 2012/10/28

遠隔操作ウィルス。。。キャッチーな一機能が強調されてしまうのでこういう表現になるんでしょうね。

一連の被害状況、関連する事実、そしてその感染方法から機能、影響を見れば見るほど、6,7年前にP2Pや掲示板関連をまきこんでさまざまな被害者がでて大騒ぎになったマルウェアを思いだします。

こんな名前のマルウェアが流行った時期があります。

 Antilo
 Antinny(総称としてつかわれることもある?)
 腐海ウィルス
 山田ウィルス
 山田オルタナティブ
 原田ウィルス
 クラナドウイルス
 仁義なきキンタマ
 欄検眼段 
 涼宮ハルヒウィルス
 シャレタマ
 中野ウィルス
 亀田ウィルス 
 小泉ウィルス
 イオナズンスクリプト
 
 などなど

これ以外にも名前がついたものは沢山あるとおもいますし、それぞれの亜種が数えきれないぐらい存在します。

これらの中で、掲示板に個人情報書き込んだり、PC内の画像や、アドレス帳、メールだけじゃなくPCのHDDの中身をすべてを公開してしまうなどの機能を持つものは「暴露ウィルス」と総称されてました。

これらのマルウェアは真意はわかりませんがもともとは「P2Pアプリを使って著作権違反を犯してPCソフトや音楽、映画を共有しているやつを許さない罰を与える」という、ある意味善意?に基づいている体をとっていましたが、後期にはまったく違うものへと変化していきました。

これらのマルウェアの感染方法、機能をざっくりまとめるとこうなります。

(当然個々のマルウェア毎に異なる部分も多いのですが、ここでは個々に分類せず一覧としています)

  • 感染方法
    • 感染PC内の特定のファイルまたはHDDの中身すべてを削除する
    • P2Pアプリでダウンロードした画像、動画ファイルに混入したマルウェアを実行
    • P2Pアプリでダウンロードしたソフトウェアにマルウェアが混入、実行してしまう
    • P2PアプリでダウンロードしたISOファイルにマルウェアが混入、インストール時に感染
    • 掲示板に書き込まれたファイルのURLをクリックし入手したファイルにマルウェアが混入、実行してしまう。
  • 症状、被害
    • 感染したPCのアドレス、PC名、Portを掲示板に書き込み
    • 感染端末にWebサーバーが立ち上げられ、デスクトップの定期的なスクリーンショット、HDDの中身をネット越しにだれでも閲覧できるようにする
    • P2Pネットワークにアドレス帳や、PC内に保存されていた画像,動画などを放流
    • 掲示板に様々な書き込み
      • 予告(犯行)
      • 誹謗中傷
      • 宣言?
      • その他、顔文字、つぶやき、特に意味のない書き込み
    • 特定のキーワードを持つ掲示板へ大量の書き込みを行うDoS
    • 特定サイトの申告フォームへの書き込み
      • 自分は著作権違反を犯している旨の告白文
      • 予告
    • 特定サイトにDoS
      • DDoS自体を目的
      • DoS目的ではないが感染者が多すぎて書き込み行為が結果的にDDoS化
    • 特定の掲示板に書き込まれた命令を定期的にチェックし、その命令にしたがって、掲示板への書き込みを実施する

などなど。

2006年ごろに登場した、掲示板に書き込まれた命令にしたがって動作するイオナズンを見たときは、日本人のマルウェア作成技術と、その後のマルウェアの進化にヤバさを感じてましたが、その後暴露系以外は収束していった感じですかね。

このマルウェアは以下の目的のためにほとんどの場合感染したPCのIP、PC名等を公開、もしくは書き込み先、通知先に伝えます。

  • そのPCのユーザーが著作権侵害したゲームや動画を見ていることを自動的に申告することを目的としているような機能なので、そのユーザーを特定させるため
  • 感染PCの中身をすべて見るためのバックドアを公開させるため
  • 掲示板書き込み時に、あえて書き込み元のIPが公開されるようにし、書き込み者が特定できるようにするため

とにかく感染者のIPを晒し、そのIPの持ち主を悪者にすることが目的なわけですね。

で、一連の機能をみてみると、最近話題になっているマルウェアとそっくりだなと。

掲示板への予告や誹謗中傷書き込みへの対応は2008年以降かなり厳しくなったわけですが、2006年以降も当時と同じようにマルウェア感染による予告書き込みが毎日数十、数百件あるよう状況だったらその対応はもうすこし違ったものになっていたのかなぁと思います。

ここで例にあげたマルウェアだけでなく、昔からボットにプロキシサーバー機能を入れて、そのボットを踏み台にして掲示板に書き込みしたりメールを送ったり、DoSをしかけたりする単純な攻撃元の隠蔽行為はあたりまえのように行われてきたわけで、間違ってブロックしたりしないように、その対応、対策にずっと苦労してるわけですしね。プロバイダの人たちやセキュリティ対策を行なっている人たちは。

ちなみに、その当時のマルウェアの作成に使われた言語がdelphiやVisualbasicでしたが、買わなくても、割れ物や不正にシリアル番号を入手したソフトを使うこともできるし、亜種を作成できるツールも配布されてたことや、亜種の登場タイミングなどから作成者は学生っぽいなぁという印象でしたね。

[カテゴリ:もろもろ]

by jyake