ネット上からの安易なダウンロードは危険!!

【スポンサーリンク】

こんにちは、皆様。

快晴の休日、いかがお過ごしでしょうか?

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

さて今回の投稿は、インターネット上からのダウンロードに関する投稿です。

もちろんダウンロードといっても全てが危険なわけではありません。ダウンロードに関する正しい知識や意識を有していればダウンロードに関する危険性もかなり下げることが出来るでしょう。

問題なのは例えば、フリーの掲示板等における誰ともわからない第3者の書き込みから、何の疑念もなく安易にダウンロードし実行するというようなことです。

もし上記の第3者が悪意を持ち書き込みを行った者としたら…。

インターネットは自己責任の世界です。もちろん上記のように悪意を持って書き込みを行う者が悪いですが、面識もない第3者が書き込みから安易にダウンロードする方にも問題はあると思います。

ここ最近、いたるところで世間を騒がしている遠隔操作型ウイルスの事件。以下のニュースを見てください。

ネットなりすまし事件の怖さ、誰もが「容疑者」に 犯行の手口と自衛策とは

この遠隔操作型ウイルスについても、もともとはフリーソフトとしてネット上で配布されていたものとのことです。左記をパソコンにダウンロードし、実行した瞬間に感染したということなのですね。

現在のネット事情を考えれば…、

>出所不明かつ信頼の置けないファイルのダウンロードは決して行わない

鉄則です。必ず守ってください。

さて本日の投稿では、実際にネット上からダウンロードしたファイルについて実証を交えながら注意喚起したいと思います。

昨日、知恵袋のほうで以下のようなご質問がありました。

やっちまった 助けてください 2chで信用できないファイル開いたらウィルスに感染しました

ご質問者さんからダウンロードのURLを教えていただきましたのでアクセスしてみました。アクセス先は棒アップローダへ接続され以下のような物をダウンロードすることが出来ました。

Q9kCv - Imgur

どうやらオンラインゲームのチートツールということで配布されているもののようでした。チートツールとはゲームをよりプレイしやすいようにデータ等を改変できるツールと言えばいいでしょうか。

実際に上記をダウンロードして解凍しますと以下のようなものが作成されます。

MtXwV - Imgur

実際に作成されたファイルをvirustotalで検査した結果です。

>https://www.virustotal.com/file/08a66d4061b5a26af27c3badf69bf1b96cb173dadba3f56701912f3ae11582c5/analysis/1353194718/

また解析サービスにて得られた挙動データです。

http://anubis.iseclab.org/?action=result&task_id=18aff1ef354b21a9491cf94617e95df78&format=html

2つのデータよりマルウェアではないのかなと判断したのですが、実際に実行ファイルを起動しますとデスクトップが以下のようになりました。

joJSG - Imgur

症状としてはデスクトップに無数のファイルが作成され、左記のファイルはスタートアップにも登録されています。プロセスを見ると無数の

>rundll32.exe

上記が起動している状態でCPUの占有率100%となってしまいます。以下、画像です。

f7Dca - Imgur

6puYf - Imgur

それから解析データにもありましたが、ホストファイルが改変されていました。

3mCcW - Imgur

またhijackthisのログの一部です。

O4 – Startup: 00M101MQrI0QtMs
O4 – Startup: 00M22u1quq0yKNO
O4 – Startup: 00P2tKv1IQOxJ2v
O4 – Startup: 00uPw12wJxsL0u2
O4 – Startup: 010Kwy02uvL2xtL
O4 – Startup: 012qPyu2201M0t1
O4 – Startup: 01I00y02xJMOr1v
O4 – Startup: 01J0wwwNvu1Ix12
O4 – Startup: 01JJM1NPt2110uO
O4 – Startup: 01KvPrKL2IKJruK
O4 – Startup: 01L0t21tyw0qKKI
O4 – Startup: 01LxO100wIsLQJt
O4 – Startup: 01qy1Pr0QuuQLx1
O4 – Startup: 020021Q1M2rv1u1
O4 – Startup: 021JL121KPQJsO0
O4 – Startup: 022NItI1sOLNtL2
O4 – Startup: 022rs02KyJO2Px1
O4 – Startup: 02M2w2Pt2K001OO
O4 – Startup: 02O2r0Iq2s22suI
O4 – Startup: 02s00yJ0t0srM0O
O4 – Startup: 0I110xyt1Nxy1Mw
O4 – Startup: 0JPrr0r1u0uILuw
O4 – Startup: 0JQvvOLMMPLP1Ku
O4 – Startup: 0K0MN11y100uvOL
O4 – Startup: 0KPN2vKuPy0xwst
O4 – Startup: 0KrQJ2vsuOJL10J
O4 – Startup: 0Kxrv120NLt2QKv
O4 – Startup: 0LKIO22LttQut2L
O4 – Startup: 0LLMru0tL220MwJ
O4 – Startup: 0Lr2t02qx1IQ0J0
O4 – Startup: 0N0Ly0x1L1w1Luy
O4 – Startup: 0NKwv0tJ1sOys1M
O4 – Startup: 0NN21LM2IMvwO00
O4 – Startup: 0NNOL0K20PvJ0sL
O4 – Startup: 0NtIN2P1OLwxO11
O4 – Startup: 0Nuy20K21OOs02t
O4 – Startup: 0Ov220J1Qs111Kx
O4 – Startup: 0P201u12Jt0NQP1
O4 – Startup: 0PI12IyP02ruK20
O4 – Startup: 0Pw21y2KO1txKJJ
O4 – Startup: 0Q00Pv1Qq0PLs10
O4 – Startup: 0Q1KLrPPy1K1JP2
O4 – Startup: 0QJ0x1q2w1yKv1x
O4 – Startup: 0QJ10rLNOtQrPtv
O4 – Startup: 0QJ22tO2Q20wJuK
O4 – Startup: 0qK21rQN1NPvLIL
O4 – Startup: 0QPu1IrJyqyKqIw
O4 – Startup: 0QQ1MNOLurrsPv0
O4 – Startup: 0r0u2Kq0r20ru22
O4 – Startup: 0ry2tr0P1rP0111
O4 – Startup: 0s1w101MP0vIr2y
O4 – Startup: 0sL1txP0O21t202
O4 – Startup: 0ss1021rtLOsL01
O4 – Startup: 0u1IKvLLJ2uItNJ
O4 – Startup: 0u2xusxr2NrNJ0u
O4 – Startup: 0uvP01KtLPr2N20
O4 – Startup: 0vItK0x2P22L2sQ
O4 – Startup: 0vOOOtrM1wy1Q1P
O4 – Startup: 0vPuxJPNxy0P1v0
O4 – Startup: 0vvO0OvKKv01q2t
O4 – Startup: 0vvs11Pt0JrLKwr
O4 – Startup: 0wIP1J12Mx21Pru
O4 – Startup: 0wxw00w02J2OI0J
O4 – Startup: 0xKJPO01t1Mvr21
O4 – Startup: 101P2Lrt1r0vLOJ
O4 – Startup: 10ONK2vOq02qNKt

残念ながらこの作成されるファイルの増殖は単純にファイルを削除・スタートアップを項目の削除を行ったのみではとまりません。仮に左記を行っても再起動後に上記の症状が発生します。作成されるファイルやPC全体をセキュリティソフトで検査しても検出なしですね。

僕の場合、該当プロセスを停止し改変部分を修正することによりファイル増殖をとめることが出来ましたが、完全修復は不可能と思いますね。

実は僕はこのような症状を過去拝見したことがあります。

ウイルスに感染した可能性があるのですが

上記のご質問でもチートツールを使用された方でしたね。ショウヘイさんのご回答をご参照してください。今回のものもexeファイルとなっていますが、もとはVBSファイルであったことが推測できますね。問題はVBSに書かれていたコードです。exeファイルをデコンパイル出来ればわかるかもしれないですが、僕には出来ません…。

以上のように、インターネット上には様々なファイルが存在します。しかしその全てが安全とは限らないということです。ましてや上記のようなチートツールの類ではその危険性はさらに増大します。

皆様におかれましてはネット上からファイルをダウンロードする際はくれぐれもご注意ください。

本日は以上です。なお次回の記事ではこの投稿を踏まえ、安全なテスト環境の構築について書きたいと思います。