遠隔操作ウィルス

2012年10月、他人のPCを乗っ取る「遠隔操作ウィルス」が話題になりました。 攻撃者はマルウェアに感染したユーザのPCを遠隔操作し、Webサイト等にアクセ スし犯罪予告しました。感染者が攻撃者と間違われ逮捕されたこと、のちに真 犯人らしき人物からの犯行声明があったことからマスコミでも話題になりまし た。 ここでは、その手法を簡単にまとめておきます。
  1. まず攻撃者はオンラインストレージサービスにマルウェアを Chikan.zip として置いておきます。
  2. フリーソフトというふれこみで 2ch に URL をはります。
  3. 被害者ユーザは上の URL から Chikan.zip を解凍すると Chikan.exe と data というファイルがあらわれます。
  4. Chikan.exe を実行すると、さらに新しく cfg.dat, iesys.exe, del.bat という3つのファイルができます。
  5. del.bat は Chikan.exe を削除し data を Chikan.exe に変更します。
  6. レジストリを書き換え iesys.exe を自動実行 するようにします。
    新しい Chikan.exe は無害なテキスト置換ユーティリティで、 実際にマルウェアとして振る舞うのは iesys.exe で、 その設定ファイルが cfg.dat です。
  7. iesys.exe は cfg.dat を読み込みます。cfg.dat には「したらば」 の特定の板にスレッドを立てるような設定が書き込まれていて、 それを実行します。
  8. 以降、iesys.exe が 定期的に「したらば」を読み にいきます。
  9. 攻撃者は感染PCに 実行させたい動作を「したらば」にコマンドの形で書き込み ます。
  10. すると、感染PCは掲示板を読み込んだタイミングで、実行します。
    実行可能なコマンドには http で任意の操作を実行するほか、 感染PC のスクリーンショットをおくる、プログラムを更新する、 等いろいろな機能があったおうです。

特に高機能なマルウェアではなかったのですが、攻撃者の自作であったことな どから、当初、対策ソフトは遠隔操作ウィルスを検出できなかったことが被害 につながりました。現在は対策されているようです。

とにもかくにも、コンピュータの不穏な動作には常に敏感に なっておかなくてはいけないことを再認識させられた 事例でしょう。

講義用スタイル
印刷用スタイル (開いてから、ページを再度更新してください)