「遠隔操作ウイルス」の配布手段まとめ

いま話題の「遠隔操作ウイルスで殺人予告」ですが、遠隔操作に使われたマルウェアの配布手段・経路が分かってきたそうです。

いくつか興味深いポイントがあったので、ウチのブログでもまとめておきますね。

「遠隔操作ウイルス」の配布手段

「遠隔操作ウイルス」の配布手段はこんな感じらしい。

まず2ちゃんねるに質問を書込む。

400 : 名無しさん@お腹いっぱい。 : 2012/07/26(木) 19:01:17.52 ID:ANznSkmo0
英単語を覚えるためにタイマーで時間測ってやりたいと思ってます
キーボードでストップスタートができるタイマーありませんか?

引用元:http://logsoku.com/thread/anago.2ch.net/software/1341460675/400

匿名による書き込み規制を回避するため、レス代行板にTor経由で書き込み。

274 : いやあ名無しってほんとにいいもんですね : 2012/07/27(金) 13:21:49.09 発信元:62.220.135.129
【依頼に関してのコメントなど】よろしくお願いします。
【板名】ソフトウェア
【スレッド名】気軽に「こんなソフトありませんか?」 Part.149
【スレッドのURL】http://anago.2ch.net/test/read.cgi/software/1341460675/
【名前欄】
【メール欄】
【本文】↓
>>400
これで需要は満たすかな?
とりあえずキーボード操作は可能
http://bit.ly/PPb66w

引用元:http://logsoku.com/thread/toro.2ch.net/siberia/1343022716/274

レスが代行され、質問の回答に見せかけたマルウェアファイルの投下に成功。

404 : 名無しさん@お腹いっぱい。 : 2012/07/27(金) 14:05:54.99 ID:Xu3VSzzz0
>>400
これで需要は満たすかな?
とりあえずキーボード操作は可能
http://bit.ly/PPb66w

引用元:http://logsoku.com/thread/anago.2ch.net/software/1341460675/404

書込まれたbit.lyのリンクを展開した先は「https://dl.dropbox.com/u/93485617/Timer.zip」になっていて、Dropbox上に置かれたファイルがマルウェアだったようです。

もし俺が犯人だったら、これより以前に感染させた制御下のパソコンから書き込みやマルウェア投下をするだろうし、そこまで含めて考えると本件でアクセス元を辿るのは無理かなーと思います。

上記で引用した2ちゃんねるのログは、すべてログ速から拾いました。

「遠隔操作ウイルス」の制御方法

このマルウェアが面白いのは、遠隔操作コマンドの投下が したらば 経由で行われること。

ユーザーが使用しているデフォルトブラウザを調べてから、隠しブラウザ経由でしたらばにアクセスしてコマンドを受信していたらしい。

これなら「80番ポートを経由して、いつものブラウザで外にでる」事になるから、ファイアウォールでも防げないって作戦みたいだよ。

遠隔操作ウイルスの被害に遭わないために!

今回の事件を受けて、警察庁から出された「遠隔操作ウイルスの被害に遭わないために!」との通達では、以下のような注意が行われています。

  1. パソコンのOSを含むプログラムを最新の状態にアップグレードしましょう。
  2. あやしいサイトにアクセスしないようにしましょう。
  3. 信頼のおけないプログラムをダウンロードしないようにしましょう。
  4. ウイルス対策ソフトを必ず導入し、最新の状態にアップデートしましょう。
  5. ファイアウォールの設定をしましょう。

でもこれ、最新のウィルス対策ソフトを入れて、ファイアウォールを設定して、Windowsを最新の状態に保っていても、今回の被害は防げなかったと思います。

しかも「あやしいサイトにアクセスしない」と言われても、2ちゃんねるや したらばが「あやしいサイト」かと言われると悩ましいし…

最終的には「怪しくても怪しくなくても、プログラムをダウンロードしないようにしましょう。 」というのが、現状もっとも正しい対処方法になると思います。

そんな感じで!