<危険>偽動画exe/scrウイルスを正規アップローダーで多数発見

アップローダーuploader.jp/getuploader.comに投稿されているコンピュータウイルス(マルウェア)の実行ファイルexeやスクリーンセーバーscrを開いてはいけないサイバー感染攻撃で危険です。

ウイルス感染危険!

日本のファイルアップローダー 「uploader.jp」 (URL getuploader.com) に コンピュータウイルス (マルウェア) 入りの不正なファイル がたくさん投稿されていますかい。
 
【危険なウイルスに警戒するよう注意を促すつぶやき】

アラフォーなオッサンのえちーな垢さんのツイート "【注意】 ウイルスの可能性あり。 共有ロダ I の 117、118、ロダ J の 18、19、ロダ B の 437。以上のファイルを WinRAR で中身を見たところ、拡張子が scr (スクリーンセーバー用の実行ファイル)、exe (実行ファイル) でした。落とされた方は、ご注意ください"
https://twitter.com/around_40s_3D/status/948778738015133696

六十 芥(むとう あくた)さんのツイート "まさかと思ったら・・・。 他でもちらほらあったようですが、当ロダにも全く身に覚えの無いファイルがアップロードされていました。 私はアップロードした際、(受け渡し目的での鍵付アップを除き) 必ずツイッター上でお知らせいたしております。 絶対にお知らせのないファイルの DL はしないで下さい"
https://twitter.com/actA_M10/status/948596263947137024

ベルクトさんのツイート "私の個人アップローダーに 私がアップしたものではないファイルが上げられていました。 画像の上二つのファイルは絶対に DL しないでください。 ウィルスの可能性があります。 気付くのが遅れ申し訳ありません。"
https://twitter.com/fujimu5015/status/949084670288740353

ファイルアップローダーというサービスの性質上、任意のファイルを誰もが自由に投稿できるので、悪意のある詐欺師すらも不正目的で危険なファイルを投稿できてしまうから厄介です。

アップローダー uploader.jp に投稿された危険なマルウェア例

uploader.jp」 にて確認した怪しい危険なファイルと思しき ファイル名 がコチラ! <かなりたくさん

【投稿されている危険なファイル例】
https://fireflyframer.blog.jp/19064485.html

【クリスマスアレンジ】けものフレンズメドレー.rar
【コミケ中継】『コミックマーケット93』会場の様子をみんなで見よう【DAY3】.zip
【バンブラP】ようこそジャパリパークへ Full(完成版)【耳コピ】.rar
【鏡音リン鏡音レン】 RINLENMANIA 10 【ノンストップメドレー】.zip
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.rar
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.zip
【声真似】長兄松がごとく君氏危うくも近うよれを歌ってみた.rar
20171230dmdmdmdmmdmdmdmmdmddmmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmd.zip
20171230fsdf23rewrfdsfavfdgsfad332a.avi.zip
20180103avavavvavavavvavavavvavavavavvavavavavvavaaaaaaaaa.zip
20180103dmmmmdmmmmmmmmmmmdmmmmmmmmmmmmmmmmmmmmmdmm.zip
20180105avavavavvavavavvavavavavavavavavavavavavavava.zip
20180109mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm.zip
2018avavavavaaaavvvvvvvvvvaaaaavvvvvvvvvvaaaaaaaaavvvvvvvv.zip
dmmdmmdmmm.zip
giregiregi20180102regiregiregiregiregiregiregiregiregiregiregiregiregiregiregire.zip
toitowanff.rar 無題な濃いログ
youソロギターアレンジ楽譜.zip
コブクロ LIVE TOUR 2018 “TIMELESS WORLD” VideoMarket.zip
ほむほむアプデ.zip
一番新しい、最強のAVドラマは10万円もかかりました!.zip
結月ゆかりのコスプレセットです.zip 無題な濃いログ
結月ゆかりの双子の弟の受難 8日目.zip
佐々木彩夏 高橋まい 森下真依 相川聖奈 臼坂まゆ 北村真珠 新原.zip
子連れ人妻がそんな水着でプールに来ちゃダメでしょ!?.zip
私の最新撮った写真です、評価してください。.zip
戦争の舞台は日本 .zip
戦争の舞台は日本 .................................zip
透け透けレース下着セット9種.zip 無題な濃いログ
舞台「けものフレンズ」稽古場よりクリスマスSP.zip
本物の恋人を見抜け!カップルハンター 2018.zip
2022-09-09 In The Room My Girls First Black Guy - Chloe Temple.zip
【uploader.jp ダウンロードの URL アドレス】
https://ux.getuploader.com/[ユーザーID]/

「ゲーム」 「卑猥な動画」 「アニメ動画」 といった、その界隈のマニア向けっぽいファイル名が目に留まりますか?


圧縮ファイルの中身は?

uploader.jp」 (URL getuploader.com) でダウンロードできるファイルの形式は、圧縮ファイル 2 パターンです。

  1. .zip 形式

  2. .rar 形式

この圧縮ファイルを手動で展開 (解凍) すると、中身はこんな感じになっていました。

イメージ 1
「動画」 「音楽」 ファイルではない! 危険な実行ファイル

  • 拡張子 .exe
    Windows 実行ファイル

  • 拡張子 .scr
    スクリーンセーバー (実行ファイル .exe と同等の形式)

危険なファイルの特徴として…

  • ファイル名が異様に長い
    Windows エクスプローラー上でファイル名の後ろ部分が 「...」 になり省略される
    → 拡張子が隠れてしまうので、ファイルの形式を判断しにくくなる詐欺師のトラップ

  • 実行ファイルのアイコンを偽装する
    見た目を 「圧縮アーカイブ」 「動画」 「Windows Media Player 用ファイル」 で騙す


危険なウイルス感染に至る流れは?

Windows ユーザーさんは、詐欺師に対抗するため 拡張子に注意するウイルス対策 がホント大事です。

【ウイルス感染攻撃の流れ】

ユーザーがファイルアップローダーにブラウザでアクセスする
 ↓ ファイルをダウンロードする

圧縮ファイル .zip または .rar をダウンロードする
 ↓ 手動で展開 (解凍) する作業を行う

中から実行ファイル または スクリーンセーバーが登場する
 ↓ ポチポチッとダブルクリックして開く

Windows パソコンでマルウェアに感染!

ダウンロードした圧縮ファイルを展開するだけで、中身の不正なプログラムがいきなり勝手に起動することはありません。

なお、この危険な実行ファイルの動作環境は Windows のみであり、それ以外の環境では動作しないから大丈夫です。

Windows XP/7/Vista/8/10/11
× mac.OS
× Android スマホ
× iOS (iPhone / iPad)


危険な実行ファイルの作成者は?

実行ファイル内のリソースデータを覗くと、日本で見慣れない漢字 が描かれたイメージ画像 KuaiZip (快压) が含まれていることが分かり、海外の詐欺師がファイルの作成に関与している可能性があります。

イメージ 2
ウイルス投稿の関与も中国大陸の人物か?

実行ファイル開いたらバックドア型ウイルス感染

コンピュータウイルス (マルウェア) を動作確認するため、Windows パソコン上で実行ファイル or スクリーンセーバーを ダブルクリック して開いたらどなる?

手元で動作確認してみると、C ドライブの特定フォルダーに 2 つのファイルがコッソリ投下されました。

イメージ 3
フォルダーに投下された動画ファイルと実行ファイル

  1. 「~.mp4」
    → 無害な動画ファイルで、ファイルサイズを大きくする狙いか

  2. 「Server.exe」 「server.exe」 「office.exe」
    → バックドア型ウイルスか?

実行ファイル起動後は Windows の常駐プログラムとして動作し続けるようになっていて、地理的位置で 香港中国 にあるウェブサーバーと外部通信を試みる処理があります。

オフライン環境で動作確認しているので、相手側のウェブサーバーと接続が確立すると、どういう恐ろしい危険な事態が起こるかは分かりません。


関連する危険なファイルの詳細


【圧縮ファイル内の実行ファイル (ドロッパー)】
9cdf23625320c8ecaf357eadf237c4ca
www.virustotal.com/ja/file/fa57671436c2fd00a7e63fb3688ed71c5cd404ba52ebcee53883f82b1f54a8d2/analysis/1514960088/

14af3ecca04622a53858a9f67241c5ef
www.virustotal.com/ja/file/a6537282b08aa8f9ac92e8c0b0ae64df36221e17a66f6051cd7f1f3a260fc994/analysis/1514989287/

6a716e15a51fc445c3f3480acdbb0e6f
www.virustotal.com/ja/file/4500124dcbbf03a43c9ce5b790015dd29abc19b688e88e487249adde466b4d55/analysis/1515001513/

de56c68f7705ed01a12d61a6872569a6
www.virustotal.com/ja/file/abe383bf63f7af531a6ca72a67f5686ed3006f489d016ef80398ad7193f56eff/analysis/1515005541/

【投下されるバックドア】
Server.exe
9a0050e4286e32e5a350c69dd6654b92
www.virustotal.com/ja/file/e25c495d8d4bd5528628a63bdceaa831650b1dc04c9abeb97f3976c30433e8dc/analysis/1515065063/
C&C → 52.128.242.244 香港

server.exe
de84d5044a7eaa910e6e91c71fd7adf6
www.virustotal.com/ja/file/abe67c7e9443da99c00050716024a89b7442ad1bc3defc620e54ece1020e46ff/analysis/
C&C → 120.43.68.57 中国

office.exe
1506ed0bf86cb8f14a39f0fdd74de1cb
www.virustotal.com/ja/file/30389c6eb253a210b4129cf9beb5e28e820537a14869ae92ad40b99dbc8ea102/analysis/1496847669/
C&C → 120.43.68.57 中国

Server.exe
39783d9221fcfa7621ae7d3dbdf6c7e8
www.virustotal.com/ja/file/9eb0cb2ad369b8f93b4568a8c3ab1929c2da7726a6f517fef1d8cad5a88bdb3b/analysis/1514158716/
C&C → 58.22.95.169 中国

3a244fab2a411b529f97a9344a21281b
www.virustotal.com/gui/file/8ebc43f7005704efd6d7e7f2c48a3efc0858c0c0b63011d39e6202a41fc2d3f5

8fb6434094bd9399f204ebee5be95995
f158ef6ef0e751730c8b17e719f39f82

関連するブログ記事