<危険>B-CASカード改造で730台ウイルス感染 WOWOW無料視聴?

WOWOW無料視聴を餌に不正なB-CASカード改造ツールでWindowsパソコン730台がバックドアやランサムウェアの感染被害。ウイルス実行ファイルのダウンロード数、容疑者摘発ニュース。

2015年2月、不正な改造を施したB-CASカード を使用しているテレビ機器に対して、有料チャンネル WOWOW の視聴をできなくして、海賊行為にメスを入れる対策が実施されたとか。

WOWOWが改造B-CASカード対策を実行、との噂 - スラド
https://srad.jp/story/15/02/09/0356232/


改造ツール装いコンピュータウイルス配布

この B-CASカードの海賊版対策の出来事に便乗して、Windowsパソコン をターゲットに ウイルス感染 を狙った事件が発生しているので紹介します。 

不正改造B-CASツールでアップローダにGamarueウイルスの実行ファイル
 とあるアップローダサイトに公開されたナゾの実行ファイル

ファイル名 wowow_free.exe
MD5ハッシュ値 0b020965a93441960c1f2655cbb3edec
www.virustotal.com/ja/file/f343c96e3b996e3a82cea454419f00b100888d8f7195a62b29f6fc03413f0825/analysis/1424408770/
【セキュリティソフトのウイルス検出名例】
avast Win32:Malware-gen
Avira TR/Gamarue.A.1160 HEUR/AGEN.1109959
ESET Win32/TrojanDownloader.Wauchos.AF
Kaspersky Backdoor.Win32.Androm.giad Trojan.Win32.Inject.sbot
McAfee RDN/Generic BackDoor!bbw Artemis!0B020965A934
Microsoft Worm:Win32/Gamarue
Symantec Trojan.Asprox.B
Trend Micro BKDR_ANDROM.YYYF

WOWOW を無料視聴できるようにする改造ツールの名目で配信された実行ファイル wowow_free.exe」 の正体は、Windows 向けマルウェアです。

バックドア
Win32/Gamarue

実行ファイルのダウンロード数が約 1,600 を指し示していて、ダウンロードしたユーザーさん方、ガチのコンピュータ ウイルスを入手して大丈夫でしょうか。。。


Gamarue ウイルスとは?

以前から、アンダーグラウンドのブラックマーケットで販売されているクライムウェアAndromeda Bot」 として知られており、ウイルスを開発するプログラミング知識がなくてもボタン 1 つで不正な実行ファイルを作成できるシロモノ?

  • Andromeda Bot
    ウイルス作成ツールの商品名

  • Gamarue
    セキュリティ会社が名付けた脅威の名称


[2016年2月 追記...]

Windows パソコンをターゲットに、PC のストレージ内のファイルを暗号化して破壊してから身代金の支払いを要求する ランサムウェア が投入されています。

ランサムウェア開発キット 「TorLocker」 としてブラックマーケットで販売されているクライムウェアから生み出されるランサムウェアとなります。

ファイル名 CardTool.exe
MD5ハッシュ値 b71e04980df665b1254174616e4492be
www.virustotal.com/ja/file/b08c196a2089afa79469e5d6ddf6610204b4894945b8370f0134c8c00dbea97e/analysis/1418137867/
【セキュリティソフトのウイルス検出名例】
avast MSIL:GenMalicious-CQR
Avira HEUR/AGEN.1000697
ESET MSIL/Injector.GRB
Kaspersky HEUR:Trojan.Win32.Generic
McAfee BackDoor-FCOB!B71E04980DF6
Microsoft Ransom:Win32/Critloki.B
Symantec Trojan.Gen.2 Ransom.Cryptolocker

アップローダサイト上に、「B-CASカードの不正改造ツール」 と称した zip 形式の圧縮アーカイブ、あるいは実行ファイルが公開されていて、ユーザーさんに手動ダウンロードさせて、実行ファイル (拡張子 .exe) を起動してもらう自爆感染です。

ファイルサイズ 6.7 MBという異常な大きさですかい。

イメージ 2
 ダウンロード数 8,468

イメージ 3
 ダウンロード数 1,004

ファイルのダウンロード数が 8 千件にも達しています。


<追記...>

メディアの報道によると、この一連の遠隔操作ウイルスやランサムウェアの作成・配布に関与した可能性がある容疑者が警察に逮捕されたとのことです。

高1、アカウント不正入手 ネット銀など1800件 容疑で書類送検 - 東京新聞
サイバー犯罪対策課によると、少年はテレビの有料放送を無料で見られるようにする「B-CAS(ビーキャス)改造ツール」を装って、遠隔操作ウイルスをインターネット上にアップした。ダウンロードした約七百三十人分のパソコンに感染させ、ネット通販やネット銀行で使う他人のアカウント約千八百件を入手していた。
少年は不正入手したアカウントが実際に使えるかを不正アクセスで確かめた上、ネット掲示板で販売し、仮想通貨ビットコインで約五万円を得ていたという。同課は、ネット通販などで被害がなかったかどうか実態を調べる。
 http://www.tokyo-np.co.jp/article/national/list/201602/CK2016020502000243.html
ウイルス拡散 1800人分の情報入手か 容疑の高1書類送検 - 日本経済新聞
同課は730台のパソコンを感染させ、通販サイトやインターネットバンキングのID・パスワード延べ1800人分を入手したとみている。
送検容疑は2015年6月、衛星放送などを無料で視聴できるツールと偽り、遠隔操作ウイルスをネット掲示板に仕込み、東京都内在住の40代男性にダウンロードさせて感染させた疑い。また、14年12月から昨年6月、パソコン内のデータをロックし、それを解除すると称して金銭を要求する身代金要求型ウイルスをネット掲示板に仕込んだ疑い。
同課によると、男子生徒は感染端末から不正入手したID・パスワードをネット上で転売。代金は仮想通貨「ビットコイン」で支払わせていた。男子生徒のパソコン内には5万円相当のコインが残っていたという。男子生徒は他人のID・パスワードを使い、オークションサイトで高級腕時計を2600万円で落札したこともあったという。
http://www.nikkei.com/article/DGXLASDG05H3D_V00C16A2CC0000/

IE11、Chrome、Firefox ブラウザにはユーザー名とパスワードを保存する オートコンプリート機能 が実装されています。

今回、投入された Gamarue ウイルスは、そのオートコンプリートのデータを盗む機能があり、機密情報を外部に流出する被害を喰らったユーザーさんが使う Windows パソコン 730台。

B-CAS カードで釣られて感染したユーザーさんが、こんなにもいる地獄。。。

関連するブログ記事