月別アーカイブ: 10月 2012
SkypeでワームウイルスDorkbot拡散 「lol is this your new profile pic?」で誘導
「lol is this your new profile pic? http:// ~」、翻訳すると「ハハハッ、これはあなたの新しいプロフィール写真なの?」というURL付き英文メッセージで、ウイルスファイルのダウンロードを誘導してくる脅威がSkype(スカイプ)のチャットで蔓延してるみたい・・・。
コチラで入手したファイルはZIP形式の圧縮ファイルで、解凍した後に中身の実行ファイルを起動してしまうとウイルス感染となります。
skype_06102012_image.zip
↓ 解凍すると実行ファイル
skype_06102012_image.exe
ファイル名にイヤラシく「image」なんてな文字が入っていて、まるで知り合いから画像ファイルが送られてきかのように勘違いさせて開かせる寸法(ソーシャル・エンジニアリング)ですな。
この実行ファイルは「Dorkbot」とか「NGRBot」と呼ばれるワーム型ウイルスです。セキュリティ会社が出してる脅威情報は↓な感じ。
- WORM_DORKBOT (トレンドマイクロ)
「WORM_DORKBOT」:IRCボットの再来か - Worm:Win32/Dorkbot (マイクロソフト)
- Win32/Dorkbot.B (ESET)
ただ、オンラインスキャンサイトVirusTotalのスキャン結果を見ても亜種が随時投入されてるみたいで、セキュリティソフトも後追い状態で対応状況もまちまちな感じ?
↓は現時点で出回ってると思われる検体で、VirusTotalに最初にアップされた時点の結果(2 / 44)と、最新の結果です。
> http://www.virustotal.com/file/51100553d15597e9d0ca98aa0f3be3ab5a49c0ca10808456b7a92884296e1b68/analysis/1349545604/
> http://www.virustotal.com/file/51100553d15597e9d0ca98aa0f3be3ab5a49c0ca10808456b7a92884296e1b68/analysis/
上の情報から、このウイルスの説明をものすごく簡単に。。。
◆ レジストリにエントリー作成 (パソコン起動時にウイルスが動くようにするため)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
項目名 … 6文字のランダム文字列
データ … 下のファイルパス
◆ ウイルスファイルの位置
Windows XP ⇒ C:\Documents and Settings\[ユーザー名]\Application Data\[6文字のランダム文字列].exe
Windows Vista/7 ⇒ C:\Users\[ユーザー名]\AppData\Roaming\[6文字のランダム文字列].exe
・ USBメモリの汚染 (オートラン起動)
・ インスタントメッセンジャー経由で同メッセージを送信して拡散
・ ブラウザの通信状況を監視してパスワードなどの機密情報の搾取
など
○ 【注意喚起】短縮URLを受け取った際は注意しましょう(lol is this your new profile pic?) (Skype質問掲示板)