動画を装うexe/scrファイルでウイルス感染アップローダ注意

イメージ 4

日本のファイルアップローダー・サービス uploader.jp にてレンタルされている複数のページに マルウェア入りの不正なファイル が勝手にアップロードされている事件が確認されています。 
 
■ アラフォーなオッサンのえちーな垢さんのツイート: "【注意】 ウイルスの可能性あり。 共有ロダ I の 117、118、ロダ J の 18、19、ロダ B の 437。以上のファイルを WinRAR で中身を見たところ、拡張子が scr (スクリーンセーバー用の実行ファイル)、exe (実行ファイル) でした。落とされた方は、ご注意ください"
https://twitter.com/around_40s_3D/status/948778738015133696

■ 六十 芥(むとう あくた)さんのツイート: "まさかと思ったら・・・。 他でもちらほらあったようですが、当ロダにも全く身に覚えの無いファイルがアップロードされていました。 私はアップロードした際、(受け渡し目的での鍵付アップを除き) 必ずツイッター上でお知らせいたしております。 絶対にお知らせのないファイルのDLはしないで下さい"
https://twitter.com/actA_M10/status/948596263947137024

■ ベルクトさんのツイート: "私の個人アップローダーに 私がアップしたものではないファイルが上げられていました。 画像の上二つのファイルは絶対に DL しないでください。 ウィルスの可能性があります。 気付くのが遅れ申し訳ありません。"
https://twitter.com/fujimu5015/status/949084670288740353

ファイルアップローダー・サービスというシステムの性質上、誰がアップロードしたのか必ずしも判断できない素性不明なファイルがあって、悪意のあるユーザーが不正な目的で自由にファイルをアップロードし放題です。

結構危ない。。。

アップローダーに投稿されたウイルスやファイル

手元で確認した ファイル名 は次のような感じでした。 <色々ありすぎ

【アップロードされている配布ファイル名】
【クリスマスアレンジ】けものフレンズメドレー.rar
【コミケ中継】『コミックマーケット93』会場の様子をみんなで見よう【DAY3】.zip
【バンブラP】ようこそジャパリパークへ Full(完成版)【耳コピ】.rar
【鏡音リン鏡音レン】 RINLENMANIA 10 【ノンストップメドレー】.zip
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.rar
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.zip
【声真似】長兄松がごとく君氏危うくも近うよれを歌ってみた.rar
20171230dmdmdmdmmdmdmdmmdmddmmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmd.zip
20171230fsdf23rewrfdsfavfdgsfad332a.avi.zip
20180103avavavvavavavvavavavvavavavavvavavavavvavaaaaaaaaa.zip
20180103dmmmmdmmmmmmmmmmmdmmmmmmmmmmmmmmmmmmmmmdmm.zip
20180105avavavavvavavavvavavavavavavavavavavavavavava.zip
20180109mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm.zip
2018avavavavaaaavvvvvvvvvvaaaaavvvvvvvvvvaaaaaaaaavvvvvvvv.zip
dmmdmmdmmm.zip
giregiregi20180102regiregiregiregiregiregiregiregiregiregiregiregiregiregiregire.zip
toitowanff.rar
youソロギターアレンジ楽譜.zip
コブクロ LIVE TOUR 2018 “TIMELESS WORLD” VideoMarket.zip
ほむほむアプデ.zip
一番新しい、最強のAVドラマは10万円もかかりました!.zip
結月ゆかりのコスプレセットです.zip 無題な濃いログ
結月ゆかりの双子の弟の受難 8日目.zip
佐々木彩夏 高橋まい 森下真依 相川聖奈 臼坂まゆ 北村真珠 新原.zip
子連れ人妻がそんな水着でプールに来ちゃダメでしょ!?.zip
私の最新撮った写真です、評価してください。.zip
戦争の舞台は日本 .zip
戦争の舞台は日本 .................................zip
透け透けレース下着セット9種.zip
舞台「けものフレンズ」稽古場よりクリスマスSP.zip
本物の恋人を見抜け!カップルハンター 2018.zip 無題な濃いログ

【URL】
https://ux.getuploader.com/[様々なユーザーID]/


圧縮ファイルの中身は実行ファイル

この .zip 形式、あるいは .rar 形式の圧縮アーカイブをダウンロードして、解凍・展開作業を行うと、中身は次のファイル形式であることが分かりました。

イメージ 1
「動画」 「音楽」 ではなく実行ファイル .exe

  1. 拡張子 .exe
    Windows 用実行ファイル

  2. 拡張子 .scr
    スクリーンセーバーの実行ファイル
    → .exe と同じファイル形式と考えて問題なし

  • ファイル名が異様に長い
    ファイル名の表示の後ろ部分が 「...」 で省略されてしまう
    → 拡張子が隠れることでファイル形式が判別しにくくなるトラップ発動

  • 実行ファイルのアイコンを偽装
    見た目を 「圧縮アーカイブ」 「Windows Media Player のファイル」 っぽく装う

なお、この実行ファイル内のリソースデータを覗くと 見慣れない漢字 が描かれたイメージ画像が含まれてました。 

イメージ 2
ウイルス攻撃者はお隣の大陸か?

実行ファイルを開いたらバックドア型ウイルスに感染

動作確認のため、Windows パソコン上で実行ファイル or スクリーンセーバーを ダブルクリック して開いて起動すると、C ドライブの特定フォルダーに 2 つのファイルがコッソリ投下されました。

イメージ 3
フォルダーに投下された動画ファイルと実行ファイル

  1. 「~.mp4」
    → 無害な動画ファイル
    (ファイルサイズをより大きく見せる狙いも…)

  2. 「Server.exe」 「server.exe」 「office.exe」
    → バックドア型ウイルスの実行ファイル

実行ファイルが起動されると常駐プログラムとして動作し続けるようになっており、香港中国 にあるサーバーと外部通信を試みる処理を確認しました。 <その後どうなりるかは謎…

【ウイルス感染攻撃の流れ】
ファイルアップローダーにアクセスする
 ↓ ファイルをダウンロード

圧縮アーカイブ .zip .rar を入手する
 ↓ 解凍・展開する

中から実行ファイル .exe または スクリーンセーバー .scr が登場する
 ↓ ダブルクリック

マルウェア感染へ

あくまで Windows ユーザーに対して強制感染ではなく 自爆感染 を誘った攻撃手口で、Windows 以外の mac OS、Android スマホ、iOS (iPhone / iPad) といった環境は動作せず影響ありません。

Windows ユーザーさんはウイルス攻撃者に対抗するため 拡張子に注意するウイルス対策 が重要です。



関連するファイルの詳細


【圧縮ファイル内の実行ファイル (ドロッパー)】
9cdf23625320c8ecaf357eadf237c4ca
www.virustotal.com/ja/file/fa57671436c2fd00a7e63fb3688ed71c5cd404ba52ebcee53883f82b1f54a8d2/analysis/1514960088/

14af3ecca04622a53858a9f67241c5ef
www.virustotal.com/ja/file/a6537282b08aa8f9ac92e8c0b0ae64df36221e17a66f6051cd7f1f3a260fc994/analysis/1514989287/

6a716e15a51fc445c3f3480acdbb0e6f
www.virustotal.com/ja/file/4500124dcbbf03a43c9ce5b790015dd29abc19b688e88e487249adde466b4d55/analysis/1515001513/

de56c68f7705ed01a12d61a6872569a6
www.virustotal.com/ja/file/abe383bf63f7af531a6ca72a67f5686ed3006f489d016ef80398ad7193f56eff/analysis/1515005541/

【投下されるバックドア】
Server.exe
9a0050e4286e32e5a350c69dd6654b92
www.virustotal.com/ja/file/e25c495d8d4bd5528628a63bdceaa831650b1dc04c9abeb97f3976c30433e8dc/analysis/1515065063/
C&C → 52.128.242.244 香港

server.exe
de84d5044a7eaa910e6e91c71fd7adf6
www.virustotal.com/ja/file/abe67c7e9443da99c00050716024a89b7442ad1bc3defc620e54ece1020e46ff/analysis/
C&C → 120.43.68.57 中国

office.exe
1506ed0bf86cb8f14a39f0fdd74de1cb
www.virustotal.com/ja/file/30389c6eb253a210b4129cf9beb5e28e820537a14869ae92ad40b99dbc8ea102/analysis/1496847669/
C&C → 120.43.68.57 中国

Server.exe
39783d9221fcfa7621ae7d3dbdf6c7e8
www.virustotal.com/ja/file/9eb0cb2ad369b8f93b4568a8c3ab1929c2da7726a6f517fef1d8cad5a88bdb3b/analysis/1514158716/
C&C → 58.22.95.169 中国


関連するブログ記事