アップローダに動画装うexe/scrファイルでウイルス感染 ダウンロード危険!

イメージ 4
Image いらすとや

今週、ファイルアップローダーサービス uploader.jp からレンタルされてる複数のページに マルウェア が無差別アップされるトラブルが発生してたみたい。

■ アラフォーなオッサンのえちーな垢さんのツイート: "【注意】ウイルスの可能性あり。 共有ロダIの117、118、ロダJの18、19、ロダBの437。以上のファイルをWinRARで中身を見たところ、拡張子がscr(スクリーンセーバー用の実行ファイル)、exe(実行ファイル)でした。落とされた方は、ご注意ください"
https://twitter.com/around_40s_3D/status/948778738015133696

■ 六十 芥(むとう あくた)さんのツイート: "まさかと思ったら・・・。 他でもちらほらあったようですが、当ロダにも全く身に覚えの無いファイルがアップロードされていました。 私はアップロードした際、(受け渡し目的での鍵付アップを除き)必ずツイッター上でお知らせいたしております。 絶対にお知らせのないファイルのDLはしないで下さい"
https://twitter.com/actA_M10/status/948596263947137024

■ ベルクトさんのツイート: "私の個人アップローダーに 私がアップしたものではないファイルが上げられていました。 画像の上二つのファイルは絶対にDLしないでください。 ウィルスの可能性があります。 気付くのが遅れ申し訳ありません。"
https://twitter.com/fujimu5015/status/949084670288740353

ファイルアップローダーの多くは誰でもファイルをアップできるシステムです。

誰がアップしたのか判断できない素性不明なファイルだらけでもあり、悪意のあるユーザーが不正な目的でファイルを自由にアップし放題なので結構危ない。。。

アップローダーにアップされたウイルス

手元で確認したファイル名はこんな感じのものです。 <色々ありすぎ

【配布ファイル名】
【クリスマスアレンジ】けものフレンズメドレー.rar
【コミケ中継】『コミックマーケット93』会場の様子をみんなで見よう【DAY3】.zip
【鏡音リン鏡音レン】 RINLENMANIA 10 【ノンストップメドレー】.zip
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.rar
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.zip
【声真似】長兄松がごとく君氏危うくも近うよれを歌ってみた.rar
20171230dmdmdmdmmdmdmdmmdmddmmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmd.zip
20171230fsdf23rewrfdsfavfdgsfad332a.avi.zip
20180103avavavvavavavvavavavvavavavavvavavavavvavaaaaaaaaa.zip
20180103dmmmmdmmmmmmmmmmmdmmmmmmmmmmmmmmmmmmmmmdmm.zip
20180105avavavavvavavavvavavavavavavavavavavavavavava.zip
20180109mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm.zip
2018avavavavaaaavvvvvvvvvvaaaaavvvvvvvvvvaaaaaaaaavvvvvvvv.zip
dmmdmmdmmm.zip
giregiregi20180102regiregiregiregiregiregiregiregiregiregiregiregiregiregiregire.zip
toitowanff.rar
youソロギターアレンジ楽譜.zip
コブクロ LIVE TOUR 2018 “TIMELESS WORLD” VideoMarket.zip
ほむほむアプデ.zip
一番新しい、最強のAVドラマは10万円もかかりました!.zip
結月ゆかりのコスプレセットです.zip 無題な濃いログ
結月ゆかりの双子の弟の受難 8日目.zip
佐々木彩夏 高橋まい 森下真依 相川聖奈 臼坂まゆ 北村真珠 新原.zip
子連れ人妻がそんな水着でプールに来ちゃダメでしょ!?.zip
私の最新撮った写真です、評価してください。.zip
戦争の舞台は日本 .zip
戦争の舞台は日本 .................................zip
透け透けレース下着セット9種.zip
舞台「けものフレンズ」稽古場よりクリスマスSP.zip
本物の恋人を見抜け!カップルハンター 2018.zip 無題な濃いログ

【URL】
https://ux.getuploader.com/[いろんなユーザーID]/

圧縮ファイルの中身は?

このzip/rar形式の圧縮アーカイブをダウンロードしてきて、解凍・展開作業を実施すると中身は次のファイルでした。 <ヤバい
  • Windows向け実行ファイル … 拡張子 .exe

  • Windows スクリーンセーバー …拡張子 .scr
イメージ 1
動画や音楽ではなく実行ファイル .exe
  1. ファイル名が異様に長く後ろ部分が ... で省略され拡張子が見えない

  2. アイコン画像を偽装してる
    (圧縮アーカイブ、Windows Media Player のメディアファイル)
ちなみに、この実行ファイルの内部のリソースデータを覗いてみると 見慣れない漢字 が描かれたイメージ画像が含まれてました。

イメージ 2
生まれはお隣の大陸?

起動するとバックドア感染

動作確認のため、Windowsパソコン上で実行ファイルやスクリーンセーバーを故意に ダブルクリック して開いて起動すると、Cドライブの特定フォルダーに2つのファイルがコッソリ投下されます。

イメージ 3
フォルダーに投下された動画ファイルと実行ファイル
  1. ~.mp4
    → ファイルサイズをより大きく見せるための無害な動画

  2. Server.exe / server.exe / office.exe
    バックドアの実行ファイル
そのうち、実行ファイルが起動して常駐するようになっており、さらに香港や中国のサーバーと通信を試みる処理も確認してます。 <その後どうなりますやら…

【ウイルス感染攻撃の流れ】
ファイルアップローダーにアクセスする
 ↓ ファイルをダウンロード
圧縮アーカイブ .zip .rar を入手する
 ↓ 解凍・展開
実行ファイル .exe / スクリーンセーバー .scr が登場する
 ↓ ダブルクリック
マルウェア感染へ

Mac OS X、Androidスマホ、iOS(iPhone/iPad) は動作環境ではないので関係なく、Windows ユーザーに対して強制感染ではない自爆感染を誘う手口です。

攻撃者に対抗するため 拡張子に注意を払うウイルス対策 は重要です。

関連するファイルの詳細

ハッシュ値と VirusTotal のファイルスキャン結果です。


【圧縮ファイル内の実行ファイル例 (ドロッパー)
9cdf23625320c8ecaf357eadf237c4ca
www.virustotal.com/ja/file/fa57671436c2fd00a7e63fb3688ed71c5cd404ba52ebcee53883f82b1f54a8d2/analysis/1514960088/

14af3ecca04622a53858a9f67241c5ef
www.virustotal.com/ja/file/a6537282b08aa8f9ac92e8c0b0ae64df36221e17a66f6051cd7f1f3a260fc994/analysis/1514989287/

6a716e15a51fc445c3f3480acdbb0e6f
www.virustotal.com/ja/file/4500124dcbbf03a43c9ce5b790015dd29abc19b688e88e487249adde466b4d55/analysis/1515001513/

de56c68f7705ed01a12d61a6872569a6
www.virustotal.com/ja/file/abe383bf63f7af531a6ca72a67f5686ed3006f489d016ef80398ad7193f56eff/analysis/1515005541/

【投下されるバックドア
Server.exe
9a0050e4286e32e5a350c69dd6654b92
www.virustotal.com/ja/file/e25c495d8d4bd5528628a63bdceaa831650b1dc04c9abeb97f3976c30433e8dc/analysis/1515065063/
C&Cサーバー → 52.128.242.244 香港

server.exe
de84d5044a7eaa910e6e91c71fd7adf6
www.virustotal.com/ja/file/abe67c7e9443da99c00050716024a89b7442ad1bc3defc620e54ece1020e46ff/analysis/
C&Cサーバー → 120.43.68.57 中国

office.exe
1506ed0bf86cb8f14a39f0fdd74de1cb
www.virustotal.com/ja/file/30389c6eb253a210b4129cf9beb5e28e820537a14869ae92ad40b99dbc8ea102/analysis/1496847669/
C&Cサーバー → 120.43.68.57 中国

Server.exe
39783d9221fcfa7621ae7d3dbdf6c7e8
www.virustotal.com/ja/file/9eb0cb2ad369b8f93b4568a8c3ab1929c2da7726a6f517fef1d8cad5a88bdb3b/analysis/1514158716/
C&Cサーバー → 58.22.95.169 中国

関連するブログ記事

最終更新日: 2018/01/12