PC遠隔操作の手口判明!トロイの木馬「iesys.exe」入りファイルを配布。2ちゃんねるから誘導
===========
最新記事もご参考にどうぞ(10/16 18:30)
TBSラジオDig・落合洋司弁護士あての犯行声明。私が出演していたラジオの生放送中に届いていた!
===========
2012年10月12日 16時30分追記
読売オンラインに、新事実を入れ込んで、書きました。この記事と合わせてご覧ください
新情報盛り込みました。攻撃完了の報告を、したらば掲示板に自動書き込み!/遠隔操作ウイルスはオリジナル? 作者は腕の立つ人物か/読売オンライン http://t.co/bJ8t6H5H
— 三上洋 (@mikamiyoh) October 12, 2012
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20121012-OYT8T00959.htm
2012年10月11日 0時50分訂正追記
PC遠隔操作ウイルス(トロイの木馬)、なりすましの事件。今朝の記事「PC遠隔操作ウイルス、お茶の水女子大付属幼稚園で三件目の被害。単独犯の可能性も(ライター三上洋事務所)」でレポートしましたが、続報が入って、全体像が見えてきました。わかった情報をまとめます。
遠隔操作ウイルス(トロイの木馬)は「iesys.exe」
原因となったトロイの木馬(不正プログラムの一種)のファイル名がわかりました。
システムファイルに見せかけたトロイの木馬だった/【なりすましウイルス】遠隔操作ウイルス名が判明「iesys.exe」 無料ソフトダウンロードで感染か(MSN産経) http://t.co/tUIpgYfY
— 三上洋 (@mikamiyoh) October 10, 2012
「iesys.exe」です。9月下旬からヨーロッパなどで出現していたトロイの木馬です。一部の報道では、これを「アイシス」と呼んでいますが、どちらかと言うと「アイイーシス・エクゼ」の方が良さそう。というのは、「IE(インターネットエクスプローラー)」「sys(システム)」を合わせて作られたと思われるファイル名だからです。
Windowsのシステムファイルに見せかけたファイル名をつけたトロイの木馬だということです。ただしこのファイル名、他の不正プログラムでも使われているファイル名でも使われています。
キーロガー、スクリーンキャプチャ、自己消去機能あり
今回使われているトロイの木馬は、以下のようなものでした。
問題のトロイの木馬の分析記事/遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」 | トレンドマイクロ セキュリティ ブログ http://t.co/yiccccRr
— 三上洋 (@mikamiyoh) October 10, 2012
トレンドマイクロが本日10月10日に対応(発見は10/9)しており、トレンドマイクロでは「BKDR_SYSIE.A」という名称になっています。このトロイの木馬は、以下のような機能を持っていました。
・パソコン画面の記録(スクリーンキャプチャ)
・ファイルのアップロード・ダウンロード
・プログラムの実行
・特定URLを隠したままでオープン
・キーロガー、マウス操作記録
・プログラムの自動アップデート
・一定時間でのスリープ機能(パソコンのスリープ)
・C&Cサーバー(命令サーバー)のからの命令待ち受けのために休眠状態に入る機能(スリープ)
・外部コマンドにより自己消去機能
10月11日0時50分訂正追記
スリープの部分の訳が間違っていたので直しました。ご指摘いただいた @Rutice_jp さん、ありがとうございます!
(詳しいデータシートはこちら)
bot、遠隔操作のトロイの木馬としては、フル装備のものだと言っていいでしょう。ほとんどすべて操作が可能な上に、消去機能も持っています。これに入られてしまっては、パソコンは丸裸、外から自由に操作し放題になります。
もちろん今回問題となった、掲示板などへの書き込みも外部から可能になります。
配布元は犯人による独自サイト?2ちゃんねるから誘導
今朝の記事「PC遠隔操作ウイルス、お茶の水女子大付属幼稚園で三件目の被害。単独犯の可能性も(ライター三上洋事務所)」で、焦点は「配布元」と書きましたが、これも判明しました。
犯人が独自配布サイトでトロイの木馬入りソフトを配布していた模様/「2ちゃんねる」経由でウイルス感染…ネット犯行予告容疑者とされた男性:スポーツ報知 http://t.co/jz5xRcDP
— 三上洋 (@mikamiyoh) October 10, 2012
2ちゃんねるで誘導リンクを張って、犯人が用意したと思われる配布サイトへ誘導していました。この配布サイトはすでに閉鎖されているそうです。
手口としては
1:犯人が関係のないソフトウェアを入手
2:インストール実行ファイルを改変し、「iesys.exe」を入れる
3:独自の配布サイトを用意し、「iesys.exe」入りのソフトをアップロード
4:2ちゃんねるなどでURLリンクを張って誘導
5:安易にインストールしてしまったユーザーのパソコンを乗っ取り
という流れだと想像できます。「iesys.exe」はウイルスではなく、トロイの木馬であり、感染機能は持っていません。そのためファイル配布という手段をとっているのでしょう。
本日夜にTBSラジオ「ニュース探求ラジオ Dig」で解説
この件について、本日10月10日22:30ごろ、TBSラジオのDigで、この事件の解説をします。TBSラジオ954KHzだけでなく、下記のリンクのネット生放送であれば全国で聞くことができます。よろしければお聞きください。
http://www.tbsradio.jp/dig/index.html
===========
最新記事もご参考にどうぞ(10/16 18:30)
TBSラジオDig・落合洋司弁護士あての犯行声明。私が出演していたラジオの生放送中に届いていた!
===========
