偽ウイルス対策ソフトSecurity Tool by Autovinウイルス解析! 感染回避対策も
 
スペインのセキュリティ会社 Panda Security が運営してるマルウェア解析のオンラインサービス Autovin を利用して、インチキな偽ウイルス対策ソフトSecurity Tool」の解析結果サンプルです。

ウイルス感染手法

改ざん被害を受けてる日本の一般サイトに、ロシアドメインなどの不正なページへ強制的に読み込むコードが埋め込まれてます。
 
ネットサーフィン中にサイトを閲覧するだけでウイルス感染被害!
ドライブ・バイ・ダウンロード
 
そのままブラウザ内部で導かれると、使用してるブラウザごとに応じたソフトウェアの脆弱性(ぜいじゃくせい)を悪用する処理がどんどん降ってきます。
 
たとえば、Internet Explorer ならば ActiveX関連、Adobe Reader・Flash Player、Java への攻撃、Mozilla Firefox なら Adobe Reader・Flash Player、Java への攻撃になります。
 
脆弱性を突くことに見事成功すると、「load.exe」といった実行ファイル(拡張子 *.exe)が裏で強制的に発動してパソコンに無事感染します。
 
感染するまで、”気をつけてる”余裕ナゾ一切なく感染処理はホンの数秒での出来事になります。
 
この攻撃を着実に回避するには、ウイルス感染経路を解消する対策をユーザーが実施しないといけません。まずはバージョン確認ツールでパソコン診断を!

ウイルスの挙動解析

そんなわけで、その「load.exe」ファイルをAutovinに放り投げた解析結果の一部抜粋です。
 
まずは全般情報でウイルス判定YES
 
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Possible Malware: YES
Scanner Information:-
・ Packed.Win32.Katusha.a
・ a variant of Win32/Kryptik.EEN trojan
 
load.exe」ファイルは、Autovin上では「sample.exe」になります。
 
実際のところ、このファイルはウイルス本体ではなく、別のファイルをダウンロードしてきて起動させる役目を持つダウンローダー型トロイの木馬でした。
 
まず不正なドメイン「195.88.144.79」(ポーランド)、「94.102.52.38」(オランダ)の2ヶ所にアクセスし、ファイルをダウンロードしてきます。
 
WindwosのTempフォルダとドキュメントフォルダに投下し起動が試みられます。
  

#– Malicious Processes Dump: –
sample.exe::PID=1508:1516::UID=0::Action=6:127.0.0.1:1028->195.88.144.79:80
sample.exe::PID=1508:1516::UID=0::Action=6:127.0.0.1:1029->94.102.52.38:80
cmd.exe::PID=1640:1652::UID=0::Action=
cmd.exe::PID=1640:1652::UID=0::Action=C:\DocumentsandSettings\Administrator>

cmd.exe::PID=1640:1652::UID=0::Action=del
cmd.exe::PID=1640:1652::UID=0::Action=”C:\WINDOWS\Temp\_ex-68.exe”
cmd.exe::PID=1640:1652::UID=0::Action=if
cmd.exe::PID=1640:1652::UID=0::Action=exist”C:\WINDOWS\Temp\_ex-68.exe”
cmd.exe::PID=1640:1652::UID=0::Action=goto
cmd.exe::PID=1640:1652::UID=0::Action=try
cmd.exe::PID=1640:1652::UID=0::Action=cmd.exe
cmd.exe::PID=1640:1652::UID=0::Action=/cstartC:\DOCUME~1\ALLUSE~1\APPLIC~1\68802226\68802226.exe/i
cmd.exe::PID=1640:1652::UID=0::Action=”C:\DOCUME~1\ALLUSE~1\APPLIC~1\68802226\68802226.bat”
 
その結果、作成されたファイル群です。
 
#– Files Created: –
/Documents and Settings/Administrator/Desktop/Security Tool.lnk
/Documents and Settings/All Users/Application Data/68802226
/WINDOWS/Prefetch/68802226.EXE-32922AC4.pf
/WINDOWS/Prefetch/_EX-08.EXE-2630CB5F.pf
/WINDOWS/Prefetch/_EX-68.EXE-08054179.pf
/WINDOWS/Temp/Perflib_Perfdata_588.dat
/WINDOWS/Temp/_ex-08.exe
/WINDOWS/system32/Packet.dll
/WINDOWS/system32/drivers/npf.sys
 
「Security Tool」のウイルスチェックシーンが現れデタラメなウイルス感染警告を表示しまくってパソコンの操作を激しく妨害し、対処したけりゃ”カネ払って駆除ツールを買えっ!”と脅す寸法。