こんにちは、皆様。
快晴の休日、いかがお過ごしでしょうか?
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
はじめに
さて今回の投稿は、インターネット上からのダウンロードに関する投稿です。
もちろんダウンロードといっても全てが危険なわけではありません。ダウンロードに関する正しい知識や意識を有していればダウンロードに関する危険性もかなり下げることが出来るでしょう。
問題なのは例えば、フリーの掲示板等における誰ともわからない第3者の書き込みから、何の疑念もなく安易にダウンロードし実行するというようなことです。
もし上記の第3者が悪意を持ち書き込みを行った者としたら…。
インターネットは自己責任の世界です。もちろん上記のように悪意を持って書き込みを行う者が悪いですが、面識もない第3者が書き込みから安易にダウンロードする方にも問題はあると思います。
ここ最近、いたるところで世間を騒がしている遠隔操作型ウイルスの事件。以下のニュースを見てください。
ネットなりすまし事件の怖さ、誰もが「容疑者」に 犯行の手口と自衛策とは
この遠隔操作型ウイルスについても、もともとはフリーソフトとしてネット上で配布されていたものとのことです。左記をパソコンにダウンロードし、実行した瞬間に感染したということなのですね。
現在のネット事情を考えれば…、
>出所不明かつ信頼の置けないファイルのダウンロードは決して行わない
↑
鉄則です。必ず守ってください。
さて本日の投稿では、実際にネット上からダウンロードしたファイルについて実証を交えながら注意喚起したいと思います。
【スポンサーリンク】
「Yahoo!知恵袋」から考察するダウンロードの危険性
昨日、知恵袋のほうで以下のようなご質問がありました。
やっちまった 助けてください 2chで信用できないファイル開いたらウィルスに感染しました
ご質問者さんからダウンロードのURLを教えていただきましたのでアクセスしてみました。アクセス先は棒アップローダへ接続され以下のような物をダウンロードすることが出来ました。
どうやらオンラインゲームのチートツールということで配布されているもののようでした。チートツールとはゲームをよりプレイしやすいようにデータ等を改変できるツールと言えばいいでしょうか。
実際に上記をダウンロードして解凍しますと以下のようなものが作成されます。
実際に作成されたファイルをvirustotalで検査した結果です。
このデータよりマルウェアではないのかなと判断したのですが、実際に実行ファイルを起動しますとデスクトップが以下のようになりました。
症状としてはデスクトップに無数のファイルが作成され、左記のファイルはスタートアップにも登録されています。プロセスを見ると無数の
>rundll32.exe
↑
上記が起動している状態でCPUの占有率100%となってしまいます。以下、画像です。
それから解析データにもありましたが、ホストファイルが改変されていました。
またhijackthisのログの一部です。
O4 – Startup: 00M101MQrI0QtMs O4 – Startup: 00M22u1quq0yKNO O4 – Startup: 00P2tKv1IQOxJ2v O4 – Startup: 00uPw12wJxsL0u2 O4 – Startup: 010Kwy02uvL2xtL O4 – Startup: 012qPyu2201M0t1 O4 – Startup: 01I00y02xJMOr1v O4 – Startup: 01J0wwwNvu1Ix12 O4 – Startup: 01JJM1NPt2110uO O4 – Startup: 01KvPrKL2IKJruK O4 – Startup: 01L0t21tyw0qKKI O4 – Startup: 01LxO100wIsLQJt O4 – Startup: 01qy1Pr0QuuQLx1 O4 – Startup: 020021Q1M2rv1u1 O4 – Startup: 021JL121KPQJsO0 O4 – Startup: 022NItI1sOLNtL2 O4 – Startup: 022rs02KyJO2Px1 O4 – Startup: 02M2w2Pt2K001OO O4 – Startup: 02O2r0Iq2s22suI O4 – Startup: 02s00yJ0t0srM0O O4 – Startup: 0I110xyt1Nxy1Mw O4 – Startup: 0JPrr0r1u0uILuw O4 – Startup: 0JQvvOLMMPLP1Ku O4 – Startup: 0K0MN11y100uvOL O4 – Startup: 0KPN2vKuPy0xwst O4 – Startup: 0KrQJ2vsuOJL10J O4 – Startup: 0Kxrv120NLt2QKv O4 – Startup: 0LKIO22LttQut2L O4 – Startup: 0LLMru0tL220MwJ O4 – Startup: 0Lr2t02qx1IQ0J0 O4 – Startup: 0N0Ly0x1L1w1Luy O4 – Startup: 0NKwv0tJ1sOys1M O4 – Startup: 0NN21LM2IMvwO00 O4 – Startup: 0NNOL0K20PvJ0sL O4 – Startup: 0NtIN2P1OLwxO11 O4 – Startup: 0Nuy20K21OOs02t O4 – Startup: 0Ov220J1Qs111Kx O4 – Startup: 0P201u12Jt0NQP1 O4 – Startup: 0PI12IyP02ruK20 O4 – Startup: 0Pw21y2KO1txKJJ O4 – Startup: 0Q00Pv1Qq0PLs10 O4 – Startup: 0Q1KLrPPy1K1JP2 O4 – Startup: 0QJ0x1q2w1yKv1x O4 – Startup: 0QJ10rLNOtQrPtv O4 – Startup: 0QJ22tO2Q20wJuK O4 – Startup: 0qK21rQN1NPvLIL O4 – Startup: 0QPu1IrJyqyKqIw O4 – Startup: 0QQ1MNOLurrsPv0 O4 – Startup: 0r0u2Kq0r20ru22 O4 – Startup: 0ry2tr0P1rP0111 O4 – Startup: 0s1w101MP0vIr2y O4 – Startup: 0sL1txP0O21t202 O4 – Startup: 0ss1021rtLOsL01 O4 – Startup: 0u1IKvLLJ2uItNJ O4 – Startup: 0u2xusxr2NrNJ0u O4 – Startup: 0uvP01KtLPr2N20 O4 – Startup: 0vItK0x2P22L2sQ O4 – Startup: 0vOOOtrM1wy1Q1P O4 – Startup: 0vPuxJPNxy0P1v0 O4 – Startup: 0vvO0OvKKv01q2t O4 – Startup: 0vvs11Pt0JrLKwr O4 – Startup: 0wIP1J12Mx21Pru O4 – Startup: 0wxw00w02J2OI0J O4 – Startup: 0xKJPO01t1Mvr21 O4 – Startup: 101P2Lrt1r0vLOJ O4 – Startup: 10ONK2vOq02qNKt
残念ながらこの作成されるファイルの増殖は単純にファイルを削除・スタートアップを項目の削除を行ったのみではとまりません。仮に左記を行っても再起動後に上記の症状が発生します。作成されるファイルやPC全体をセキュリティソフトで検査しても検出なしですね。
僕の場合、該当プロセスを停止し改変部分を修正することによりファイル増殖をとめることが出来ましたが、完全修復は不可能と思いますね。
実は僕はこのような症状を過去拝見したことがあります。
上記のご質問でもチートツールを使用された方でしたね。ショウヘイさんのご回答をご参照してください。今回のものもexeファイルとなっていますが、もとはVBSファイルであったことが推測できますね。問題はVBSに書かれていたコードです。exeファイルをデコンパイル出来ればわかるかもしれないですが、僕には出来ません…。
以上のように、インターネット上には様々なファイルが存在します。しかしその全てが安全とは限らないということです。ましてや上記のようなチートツールの類ではその危険性はさらに増大します。
皆様におかれましてはネット上からファイルをダウンロードする際はくれぐれもご注意ください。
あとがき
さて今回の投稿は以上となります。
今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。
<マルウェアの対策方法に関連する記事のまとめ>
1、URL
それでは以上です。