SkypeでワームウイルスDorkbot拡散 「lol is this your new profile pic?」で誘導

lol is this your new profile pic? http:// ~」、翻訳すると「ハハハッ、これはあなたの新しいプロフィール写真なの?」というURL付き英文メッセージで、ウイルスファイルのダウンロードを誘導してくる脅威がSkype(スカイプ)のチャットで蔓延してるみたい・・・。

コチラで入手したファイルはZIP形式の圧縮ファイルで、解凍した後に中身の実行ファイルを起動してしまうとウイルス感染となります。

skype_06102012_image.zip
 ↓ 解凍すると実行ファイル
skype_06102012_image.exe

ファイル名にイヤラシく「image」なんてな文字が入っていて、まるで知り合いから画像ファイルが送られてきかのように勘違いさせて開かせる寸法(ソーシャル・エンジニアリング)ですな。

Skype経由でワーム型ウイルスDorkbotが拡散! これがウイルスの実行ファイルだっ!

この実行ファイルは「Dorkbot」とか「NGRBot」と呼ばれるワーム型ウイルスです。セキュリティ会社が出してる脅威情報は↓な感じ。

ただ、オンラインスキャンサイトVirusTotalのスキャン結果を見ても亜種が随時投入されてるみたいで、セキュリティソフトも後追い状態で対応状況もまちまちな感じ?

↓は現時点で出回ってると思われる検体で、VirusTotalに最初にアップされた時点の結果(2 / 44)と、最新の結果です。
> http://www.virustotal.com/file/51100553d15597e9d0ca98aa0f3be3ab5a49c0ca10808456b7a92884296e1b68/analysis/1349545604/
> http://www.virustotal.com/file/51100553d15597e9d0ca98aa0f3be3ab5a49c0ca10808456b7a92884296e1b68/analysis/

上の情報から、このウイルスの説明をものすごく簡単に。。。

◆ レジストリにエントリー作成 (パソコン起動時にウイルスが動くようにするため)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
項目名 … 6文字のランダム文字列
データ … 下のファイルパス

◆ ウイルスファイルの位置
Windows XP ⇒ C:\Documents and Settings\[ユーザー名]\Application Data\[6文字のランダム文字列].exe
Windows Vista/7 ⇒ C:\Users\[ユーザー名]\AppData\Roaming\[6文字のランダム文字列].exe

・ USBメモリの汚染 (オートラン起動)
・ インスタントメッセンジャー経由で同メッセージを送信して拡散
・ ブラウザの通信状況を監視してパスワードなどの機密情報の搾取
 など

【注意喚起】短縮UR​Lを受け取った際は注​意しましょう(lol is this your new profile pic?) (Skype質問掲示板)

投稿日: 2012/10/07 | カテゴリー: 未分類 | パーマリンク コメントする.

コメントは受け付けていません。