syshost.exe勝手にウイルス感染体験 Win32/Necursでスパムメール配信も

イメージ 3

無料ブラウザアドオン Adobe Flash Player旧バージョン をインストールしておいて、脆弱性を悪用する攻撃処理を故意に読み込ませてマルウェアが強制的にインストールされる感染体験記事の続きです。

ドライブバイ・ダウンロード攻撃食らった! ウイルスが強制的に起動し感染

マルウェア感染直後のブラウザ Internet Explorer、プロセスの状況を確認できるツール Proccess Explorer のスクリーンショットがコチラ♪


ウイルスが強制的に起動して感染した瞬間

ファイルの拡張子 「.MP3」 を持つ不正な Windows向け実行ファイルが勝手に起動するドライブバイ・ダウンロード攻撃 により感染成功となってます。 <この実行ファイルは直後にクラッシュしてるけど

別の機会に改めてドライブバイ・ダウンロード攻撃を喰らってみたところ、Internet Explorer のセキュリティ機能(DEPデータ実行防止機能)が働き、一見すると攻撃は阻止されたかのように見えます。

イメージ 1

Web ページ エラー
お使いのコンピューターを保護するため Internet Explorer はこの Web ページを閉じました。正しく機能しないアドオンまたは悪意のあるアドオンが存在するため、Internet Explorer はこの Web ページを閉じました。

ただ、Adobe Flash Player の脆弱性を突いたウイルス感染攻撃そのものは成功しており、結局は問題なく感染してしまうことを確認できました。

通常では、改ざん被害を受けた一般サイトをネットサーフィンしてる時だったり、侵害された広告配信サーバーが裏で読み込まれた瞬間に攻撃が発動するワケで、ユーザーが異変に気づけず知らないうちにウイルス感染しちゃうパターンです。

感染した syshost.exe!? 正体は Necurs

マルウェアの最初の挙動を確認すると、GUID値(32ケタの英数字「********-****-****-****-************」のパターン) の名前を持つフォルダーが作成されて、そこに自分自身の実行ファイルのコピーが投下されます。

【ファイルとフォルダー】
C:\Windows\Installer\{GUID値}\syshost.exe
C:\Users\[ユーザー名]\AppData\Local\{GUID値}\syshost.exe

【レジストリ】
HKLM\System\CurrentControlSet\Services\syshost32
名前 → ImagePath
データ → C:\Windows\Installer\{GUID値}\syshost.exe" /service

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
名前 → syshost32
データ → C:\Users\[ユーザー名]\AppData\Local\{GUID値}\syshost.exe

実行ファイルの名前 syshost.exe、Windows サービスやレジストリ Run キーに登録される値が syshost32 という特徴的な目印から、このマルウェアの正体がバックドア・トロイの木馬 Necurs と判断できました。

【Necursウイルス定義名】
ESET Win32/TrojanDownloader.Necurs
Kaspersky Trojan-Dropper.Win32.Necurs
Microsoft Trojan:Win32/Necurs Trojan:Win32/Necurs.gen!A Trojan:WinNT/Necurs
Symantec Backdoor.Necurs Backdoor.Necurs!gen3 Backdoor.Necurs!gen7 Backdoor.Necurs!gen8
Trend Micro TROJ_NECURS BKDR_NECURS

パソコンを立ち上げた時に、Necursウイルスが起動して常駐できるよう次のように不正な Windows サービスが登録されてました。

イメージ 2
「> sc qc syshost32」コマンド

正規プログラムっぽい!?

「syshost.exe」「syshost32」 という名称は、如何にも Windows のシステムに最初から存在するかのように見えます。

ただ 「syshost.exe」 という実行ファイルは Windows に元から存在せず、名前が似てるファイル名として 「svchost.exe」 というのがあります。

検出されない新鮮な亜種検体

なお、オンラインファイルスキャンサイト VirusTotal の判定結果は次のようになっていて、ウイルス定義データで脅威と判定されない新鮮な亜種が投入される結果としてセキュリティ会社の対応は後手に回ることを認識しておきたいです。

【感染ファイルの検出名】
Avira TR/Crypt.Xpack.68922
Kaspersky Trojan-Dropper.Win32.Necurs.vio
McAfee Artemis!431D2AC68D63
Sophos Troj/ZBot-IJN

MD5 431d2ac68d63bbf30e3b5636ca1ae823
www.virustotal.com/ja/file/41b1a1ec61b2c8aa683f0310e3075d7d29d97fbe883d6e953ff2260417d38fe7/analysis/1401450498/

Necursウイルスに感染したユーザーの悲劇

<2015年 追記始め...>

Necurs ウイルスの強制感染をリアルに体験されたユーザーさんのブログ記事がありました。 <このブログ記事が少し役に立ったようで

覚書)syshost.exeウイルス強制インストール感染被害 Necursバックドア|気ままな独身LIFE 2015年6月
http://ameblo.jp/55saori/entry-12041305504.html

ブログ主さんの Windows パソコン環境はこんな感じになっていて、セキュリティソフトを導入してるにも関わらずウイルス感染被害を喰らった形です。
  • OS: Windows XP
  • セキュリティソフト: avast! Antivirus
  • ファイアウォール: ZoneAlarm
ウイルス感染した最大の原因は、2014年に Microsoft のサポートが終了して危険領域に突入してる Windows XP を使用してるからです。

このような環境では セキュリティソフトを導入してあってもウイルス感染経路が開いたままのガバガバ状態 であり、ネットサーフィン中に Internet Explorer ブラウザを介してマルウェアがシレッと送り込まれて致命傷を負った、と想定されます。


唯一の救いが ファイアウォール を自前でインストールしてあったことで、侵入を許した Necurs ウイルスが外部通信するタイミングで異変に気づくことができました。 <多重防護層の効果ってヤツ

もし、外部ファイアウォールではなく Windows XP 内臓のファイアウォールを使用していたら、その異変にすら気づけず感染 PC はウイルス攻撃者に遠隔操作されて実害が出ていた可能性があります。

Necurs感染でスパムメール配信

<2016年6月 追記...>

2015年後半あたりから 英語の迷惑メールが日本のメールアドレス宛てに配信 されており、次のような 添付ファイルの形式 を送りつける手口が確認されてます。
ターゲットの Windows パソコンに対して ランサムウェア Lockyウイルス などを送り込む狙いがあり、Trojan:Win32/Necurs ウイルスの感染で築かれた Necursボットネット がスパムメールの配信手段として悪用されてるそう。

It's Quiet...Too Quiet: Necurs Botnet Outage Crimps Dridex and Locky Distribution - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution

・ 勢いを増すスパム Nercus は、元のロシア人出会い系メールや株の偽情報スパムから、添付ファイル ベースのスパムへと衣替えしていました。- Cisco
http://gblogs.cisco.com/jp/2016/09/the-rising-tides-of-spam-html/
関連するブログ記事
タグ :
Windows