cNotes 検索 一覧 カテゴリ

You have received an eCard - Bittorrentを利用してマルウェアダウンロード

Published: 2010/04/10

典型的なeCard系のスパムですが、

添付ファイルの

 open.zip

が、今までのようにそのままマルウェアではなく、解凍すると

 open.exe.torrent

という.torrentファイルになっています。

したがって、このファイル自体はマルウェアではないので、メールサーバーでも端末内でもウィルスチェックは反応しません。

bittorrentクライアントをインストールしているPCでこのファイルをダブルクリックすると自動的にbittorrentクライアントが

 open.exe

をダウンロードします。

トラッカーは、

 http://announce.opensharing.org:2710/announce

ですね。

http://www.virustotal.com/analisis/28f6e889c71b76a1881037137af5079b3c990b8ddabdf38d5f1df52043a69ec9-1270872399

(17/39)

最終的にはこのexeを手動で実行して初めて感染するわけで、ここまで人の操作を必要とするものにどれだけ感染するのかという疑問がありますね。

ただ、実行しなかったとしても、勝手にこのファイルがダウンロードされて、そのままになっていると、そのユーザーの端末はbittorrentのピア(リーチャー)として、このマルウェアを配布するサイトの一つになってしまうわけで、感染よりもそこにこの手法の最大の意味があるのかなぁと思います。

マルウェア配布手法のコンセプトテスト的な意味が大きいのでしょうか。

同様の手法が今後も利用されるか、まったく見られなくなるかの経過を見ることにしましょう。

[カテゴリ:spam観察日記]

by jyake