朝鮮中央通信からダウンロードできるマルウェア 偽Flash Playerインストーラ
 
北朝鮮の報道機関 朝鮮中央通信(www.kcna[.]kp)のサイト内に無料ブラウザアドオン Adobe Flash Player のインストーラファイルに偽装したマルウェアが仕掛けられてるんだとか。
北朝鮮の国営通信社「朝鮮中央通信」が公式サイトにマルウェアを仕込んでいたことが判明 (GIGAZINE)
http://gigazine.net/news/20150114-north-korea-official-malware/

北朝鮮通信社のWebサイトを介して拡散するファイル感染型ウイルスを解析 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/10740

Who's Really Spreading through the Bright Star? - Kaspersky
https://securelist.com/blog/68978/whos-really-spreading-through-the-bright-star/
サーバーはSTAR-KP(Star合弁会社)なる北朝鮮内で稼働してるそうで。
 
中国・アジアセキュリティ動向 北朝鮮が故金日成主席誕生日にあわせて2つのサイトを公開 (ScanNetSecurity)
http://scan.netsecurity.ne.jp/article/2011/04/21/26633.html
ゲットできるファイルはZIP形式の圧縮ファイルで、解凍すると中身は2つのWindows向け実行ファイル(拡張子 *.exe)となってます。
 
イメージ 1
Flash Playerの偽インストーラ… タイムスタンプが古すぎな2012年
 
FlashPlayer10.zip
 ↓ 解凍
Install Flash Player 10 ActiveX.exe 8948f967b61fecf1017f620f51ab737d
Install Flash Player 10 Plugin.exe 2f7b96b196a1ebd7b4ab4a6e131aac58
 
Adobe Systems のデジタル署名が付いてる正規インストーラファイルと違い、この実行ファイルには何も署名が付いておらず偽物と判断できます。
 
 
いちおう起動してみたら、不正なファイルが裏でドバっと吐き出されました。
 
C:\Users\[ユーザー名]\AppData\Local\Temp\wtmps.exe
75c1467042b38332d1ea0298f29fb592
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Caches\Files\usd.dll
f1c9f4a1f92588aeb82be5d2d4c2c730
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Common\Shared\dis.dll
1fcc5b3ed6bc76d70cfa49d051e0dff6
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Defender\launch.exe
daac1781c9d22f5743ade0cb41feaebf
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Identities\[ユーザー名]\arc.dll
2d9df706d1857434fcaa014df70d1c66
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Messenger\Extension\WdExt.exe
bbac045e89eb9280ef6806f5db792fa8
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Repairs\sha.dll
6a9461f260ebb2556b8ae1d0ba93858a
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Shared\Modules\fil.dll
d0c9ada173da923efabb53d5a9b28d54
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Addins\att.dll
fffa05401511ad2a89283c52d0c86472
 
正体はスパイするバックドアみたい。

W32.Faedevour テクニカルノート | シマンテック 日本
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2013-022211-4844-99&tabid=2

 

 
<追記...>
 
ロシアのセキュリティ会社カスペルスキーは、2014年11月に情報を公開した標的型サイバー攻撃 Darkhotel と関連してることを指摘してますな~。
 
P2P由来AxDecrypt.exeウイルス Darkhotel標的型サイバー攻撃 ( Windows )
https://blogs.yahoo.co.jp/fireflyframer/33093844.html