ノートパソコン dynabook が 
8万円から♪Neurevtウイルス/Betabotボット マルウェア感染インシデント備忘録
2014年4月下旬、2chで発生したマルウェア感染インシデントの備忘録です。
http://fox.2ch.net/test/read.cgi/poverty/1398836253/ 287番
ファイルアップローダサイト Axfc Uploader にRAR形式の圧縮ファイルが用意されていて、ダウンロードページヘ誘導するURLアドレスが掲示板に書き込まれてます。
何だか2012年に発生したパソコン遠隔操作ウイルス事件を思い起こさせる?
圧縮ファイルを解凍するとショートカットウイルス…
翌5月1日にTwitterのつぶやきで感染騒ぎのお話をたまたま知ったけれど、その時点でアップローダのファイルはすでに削除済み! 
<もう1日以上経過してた
<もう1日以上経過してた…ってことで、別口経由(Malwr)でファイルを確保してます。
圧縮ファイルを解凍した中身の3ファイル
- thumbs.db ... 内容チェックしてないけど無害なFLV動画ファイル
- mov (mov.lnk) ... フォルダのように偽装されてる不正なショートカット
2.07 KB / 53371839b4752428adddce23bbd6c757
- desktop.ini ... Neurevtウイルス本体の実行ファイル
256 KB / 66929eef721818dd1bf251b052ab50f7
フォルダに見せかけた不正なショートカットファイル「mov」をユーザーが手動でダブルクリックして侵害されます。
ショートカットの悪用は、検索してみると分かるけれど、ワームの感染でUSBメモリ内のファイルがショートカット化する症状や、標的型攻撃メールのお話なんかで見られる手口です。 
<設定を変更しといても拡張子が表示されない!
<設定を変更しといても拡張子が表示されない!感染するNeurevtウイルス亜種
出来たてホヤホヤの亜種検体になるため、さすがにセキュリティ会社の”ウイルス定義データ”上では多くが有害と判定してません。
アタッカーが実行ファイルを作成 (18:27:30)
↓ 約20分後
アタッカーが掲示板に投稿 (18:49:36)
↓ 約1時間後
ユーザーが VirusTotal にファイルをアップロード
↓ 約20分後
アタッカーが掲示板に投稿 (18:49:36)
↓ 約1時間後
ユーザーが VirusTotal にファイルをアップロード
初期の段階で不正なファイルを手にしたのは、あくまで2chの該当スレッドを閲覧していて、手動でファイルをダウンロードしたユーザーに限定されます。
オンラインスキャンサイト VirusTotal
ttps://www.virustotal.com/ja/file/d06afedee6372107b088817ad4aa70c4bb08a8afa72365a190fb6cdf65df7f3c/analysis/1398854978/
ttps://www.virustotal.com/ja/file/d06afedee6372107b088817ad4aa70c4bb08a8afa72365a190fb6cdf65df7f3c/analysis/1398854978/
《ウイルス検出名の一例》
AVG Pakes_c.BQPA
BitDefender Trojan.Generic.11255207
Dr.Web Trojan.PWS.Siggen1.15610
ESET Win32/Neurevt.B
Malwarebytes Trojan.Dorkbot.ED
McAfee Artemis!66929EEF7218
Sophos Mal/VB-ALO
Trend Micro TROJ_GEN.R047H08DU14
Betabot管理パネルのログインページ
《C&C オランダ 89.248.172.104》
zosx.asia /alpha/order.php
7cce.asia
3jdy.asia
o8dj.asia
ailq.asia
y7ah.asia
ajib.asia
brt8.asia
8i7h.asia
zign.asia
★ ファイルとレジストリの変更 (一部)
> C:\ProgramData\[ランダムフォルダ]\[ランダム文字列].exe
> HKCU\Software\Microsoft\Windows\CurrentVersion\Run|[ランダムフォルダ同一名]
> HKCU\Software\Microsoft\Windows\CurrentVersion\Run|[ランダムフォルダ同一名]
セキュリティ会社の脅威情報
◆ TROJ_NEUREVT BKDR_NEUREVT - トレンドマイクロ
http://about-threats.trendmicro.com/Search.aspx?language=jp&p=NEUREVT◆ キヤノンITソリューションズ:ESET Smart Security & ESET NOD32アンチウイルス:Win32/Neurevt.B
http://canon-its.jp/product/nd/virusinfo/vr_win32_neurevt_b.html◆ Trojan.Betabot | シマンテック 日本
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2013-022516-2352-99
◆ Trojan:Win32/Neurevt.A TrojanDownloader:Win32/Neurevt.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/Search.aspx?query=Neurevt
(2014年5月13日)
