Win32/Tofsee BKDR_TOFSEEウイルス強制インストール感染被害
 
イメージ 5
 
ネットサーフィン中にドライブ・バイ・ダウンロード攻撃を食らってしまい、バックドア Tofsee というマルウェアが強制インストールされる感染被害の成功です。
  1. ドライブバイ・ダウンロード攻撃による強制感染 ← 今回はコッチの想定で
  2. 英語表記な迷惑メール(スパムメール)の添付ファイルから自爆感染
イメージ 4
iexplore.exe の下層にナゾの実行ファイル(A7A4.tmp)が強制的に起動し、
ドライブ・バイ・ダウンロードが正常に行われウイルスの感染に成功した瞬間
 
ちなみに、Windowsパソコンを狙うランサムウェア(身代金要求ウイルス)ネットバンキング不正送金ウイルスも、こんな感じで強制的に感染させる攻撃が広く日常的に行われてるから怖いですネ。
 
セキュリティソフト導入でウイルス対策バッチリできてるという思い込みも感染被害を招きます。

セキュリティ会社の脅威情報

■ BKDR_TOFSEE Mal_BigTof - Trend Micro
 
W32.Tofsee - Symantec
 
アンチウイルス機能を備えたトロイの木馬 Trojan.Tofsee
http://news.drweb.co.jp/show/?i=746
 
Tofsee のメイン機能としては、ウイルス付き迷惑メール(スパムメール)の送信する目的があって、操られるボットネットを構築するそうです。
 
さらに、追加でダウンロードできる拡張プラグインの仕組みもあって
  • 仮想通貨のマイニング
  • FTPソフトやブラウザなどから機密情報を引っこ抜く
  • DDoS攻撃
  • Skype・Facebook・Twitter経由でメッセージの送信
  • USBメモリーに拡散するワーム
みたいな処理を行える多機能な遠隔操作プログラムのようです。

● Tofsee レジストリ

イメージ 1
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
値の名前 → MSConfig
データ → C:\Users\[ユーザー名]\[ランダム 長さ8文字].exe
 
起動用パラメータは、ユーザーを欺くためかシステム構成ウィンドウを彷彿させる同じ名前が使われてます。
 
MSConfig … M/S/C が特徴的なアルファベット大文字
 
システム構成を使う (msconfig) - Windows ヘルプ
http://windows.microsoft.com/ja-jp/windows/using-system-configuration

● Tofsee ファイル

イメージ 2
 
イメージ 3
 
C:\Users\[ユーザー名]\[ランダム 長さ8文字].exe
(例 chgjafxt.exe 、tyxarwok.exe、iroxpyxf.exe)
 
マルウェアの実行ファイルは、ランダムなアルファベット小文字で8文字の長さ、ファイルの属性が 隠しファイル になってます。 <ファイルサイズがやたらデカく30MB台
 
ファイル自体は Visual Basic 製みたいです。

● Tofsee プロセス

Windowsのシステムに元からあるMicrosoft由来の実行ファイル
 
 svchost.exe
Windowsサービスのホストプロセス
 
イメージ 6
Tofseeウイルスが起動した直後のプロセスでは実体を確認できるけど…
  
に自分自身をインジェクト(注入)するので、ランダムなアルファベット小文字の実行ファイルはプロセス上で確認できず、不正な挙動を隠蔽しようとします。
関連するブログ記事