例のウィルス

話題のバックドアウイルス(「遠隔操作ウイルス」と名づけられた)を追ってみた。大阪と三重の人が誤認逮捕されたというやつだ。
  • 被害者とのやり取りが行われた2チャンネルの掲示板は次のような内容。タイマーアプリが無いかという質問に対して、犯人がアプリを置いたURLを示している。
    400:名無しさん@お腹いっぱい。:2012/07/26(木) 19:01:17.52 ID:ANznSkmo0downup
        英単語を覚えるためにタイマーで時間測ってやりたいと思ってます
        キーボードでストップスタートができるタイマーありませんか? 
    
    ...
    
    404:名無しさん@お腹いっぱい。:2012/07/27(金) 14:05:54.99 ID:Xu3VSzzz0downup
        >>400
        これで需要は満たすかな?
        とりあえずキーボード操作は可能
        http://bit.ly/PPb66w
  • ここに犯人が推薦するソフトウェアへURL(http://bit.ly/PPb66w)を書き込んだ。
  • このURLは、http://dl.dropbox.com/u/93485617/Timer.zip に転送される。
  • 当該ファイルは既に削除されたようで以下の表示が出る。
Dropbox.png 2chへの投稿はTor(トーア)を使って投稿されたようだ。念のいったことに、Torを通じて代行サイトに依頼して、依頼を受けた人物が掲示板に書き込みを行ったらしい。ところで、Torとは何か。次の記事で調べてみる。 Torの他にもうひとつキーワードが出てくる。Dropboxだ。ウイルスが置かれたサイトのシステムである。これについても後の記事で詳しく扱う。 さて問題のウイルスに戻ると、実行ファイル名はiesys.exeであったようだ。トレンドマイクロではBKDR_SYSIE.Aと言うコードがつけられている。特徴としては、WindowsのXP以前のOSに感染する。割に単純な仕組みでレジストリに以下のように書き込まれる。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
{malware filename}.exe = "{malware path}{malware filename}.exe"
これにより、OSの起動時にファイルが実行される。後は何でもやり放題というわけだ。 シマンテックではもう少し詳しい情報が出ている(Backdoor.Rabasheeta)。ウイルスは様々なユーザ情報を http://sysdeck.boxhost.me/upld.php に書き込み、逆に http://jbbs.livedoor.jp/ から指示を受けていたようだ。 ここで、boxhost.me というのは、10GBまで無償のホスティングサイトだ。犯人はここにPHPプログラムを置いてウイルスから得られる情報を得ていたようだ。また、jbbs.livedoor.jp はライブドア社の無償の掲示板サイトだが、犯行に使われた掲示板の名前はまだ分かっていない。