Winnyネットワーク上の暴露ウィルスの新型？

先月のはじめ頃に話題になっていたリモートデスクトップ接続ソフトをインストールする新型についてです。やっと直接見る機会ができました。

手法は典型的で、見た目は暴露ウィルス感染による流出ファイルであり、それを展開すると中にフォルダアイコンに見せかけた実行ファイルがあり、まちがってダブルクリックすると感染してしまうというものです。

巷で言われているとおり、以前の仁義、山田などは、デスクトップのスナップショットをP2Pネットワークに流出させるとか、スナップショットを定期更新して、内部に立ち上げたウェブサーバー経由で外部に公開するようなものでしたが、新型は「IgRemote」というリモートデスクトップ接続ソフトを勝手にインストールする？もののようです。好きなときにデスクトップをのぞきこまれたり、あるいは、PCの操作を勝手にされてしまうということでしょうか。

以前言われていたような「P2Pアプリを使うときは専用端末で、」というのもほぼ意味がないってことですね。

ただまぁこのような機能はボットネットの世界では古くからやられている手法であって、デスクトップを持っていかれるとかは普通で、PCについているWebカメラやマイクまでコントロールされて室内の情報とか音声までもっていかれるわけです。なんとなく愉快犯寄りの日本製のものの使われ方より、海外発のものはより犯罪色が強くかなりえげつないわけです。

Winnyに流通しているファイルを媒介するわけですが、それよりもSQLインジェクションや偽アンチウィルス、偽コーデックで簡単に感染者が増える？世の中ですから、こういった手法に弾込めすればもっと簡単に影響範囲を広げられそうです。

で、ざっくりみたところ、debugger detection機能も持っているようで、また、下記のようなものをいろいろ追加しようとするみたい。他のものはなんなのかはよくわかりません。

 0009:Call advapi32.RegSetValueExA(00000038,004102dc "gnlsys",00000000,00000001,0032f91c,00000104) ret=0040178d
 0009:Call advapi32.RegSetValueExA(00000040,0041033c "igremote",00000000,00000001,0032f91c,00000104) ret=00401817

 %s\drivers\m3dl.exe
 %s\drivers\sysali
 %s\drivers\gnlsys2.exe
 %s\drivers\igremote.exe
 %s\drivers\df2.exe
 %s\drivers\frs.sys
 %s\drivers\ptf.exe

VirusTotal先生的にはこれくらい。

こいつも亜種がいろいろあるようでものによってはもう少し検出されるものとかもあるようですが、2,3年前にあんなに大騒ぎしたantinnyをはじめとする日本のP2Pアプリをターゲットにしたマルウェアですが、今となっては注目にあたいせずなんですかね。

流出ファイルに混入しているマルウェアなので、セキュリティ関連のひと、情報漏洩を追いかけている人など、たくさんの人々がP2P上で検索をしまくっているファイルなわけで、簡単に発見されるべきマルウェアじゃないのかと思うのですが、やはり流出する情報の方にのみ注目がいくのでしょうか。せめてセキュリティ対策やっているひとは違う方にも目を向けてほしいと思います。

なので対策側のブームが去ってしまったことも原因なのか、ちなみにantinny関連でDDoS機能を持つものの活動についてですが現状でもピーク時の20%までしか下がってません。たぶんマルウェア自体の開発、改良、そして積極的な？感染行為が終わって3年ぐらいたっているにもかかわらずです。

パソコンの買い替え、OSのバージョンアップなどのハードルも越えてきているわけですかね。

こんな状況を踏まえた上で、マルウェア全体について考えると、その対策以前に、感染してしまった人の回復？改善ってどこまでやってこれてきたのか、5年前のマルウェアの根絶状況みたいなものに興味があるとともに、調べるのが怖いです。

[カテゴリ:P2P観察日記]

by jyake