PC遠隔操作の手口判明!トロイの木馬「iesys.exe」入りファイルを配布。2ちゃんねるから誘導

ITジャーナリスト三上洋 事務所 > ネットサービス > PC遠隔操作の手口判明!トロイの木馬「iesys.exe」入りファイルを配布。2ちゃんねるから誘導


===========
最新記事もご参考にどうぞ(10/16 18:30)
TBSラジオDig・落合洋司弁護士あての犯行声明。私が出演していたラジオの生放送中に届いていた!
===========

2012年10月12日 16時30分追記
読売オンラインに、新事実を入れ込んで、書きました。この記事と合わせてご覧ください
https://twitter.com/mikamiyoh/status/256656753436000256
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20121012-OYT8T00959.htm

2012年10月11日 0時50分訂正追記
PC遠隔操作ウイルス(トロイの木馬)、なりすましの事件。今朝の記事「PC遠隔操作ウイルス、お茶の水女子大付属幼稚園で三件目の被害。単独犯の可能性も(ライター三上洋事務所)」でレポートしましたが、続報が入って、全体像が見えてきました。わかった情報をまとめます。

遠隔操作ウイルス(トロイの木馬)は「iesys.exe」

原因となったトロイの木馬(不正プログラムの一種)のファイル名がわかりました。
https://twitter.com/mikamiyoh/status/255972597378973696
「iesys.exe」です。9月下旬からヨーロッパなどで出現していたトロイの木馬です。一部の報道では、これを「アイシス」と呼んでいますが、どちらかと言うと「アイイーシス・エクゼ」の方が良さそう。というのは、「IE(インターネットエクスプローラー)」「sys(システム)」を合わせて作られたと思われるファイル名だからです。
Windowsのシステムファイルに見せかけたファイル名をつけたトロイの木馬だということです。ただしこのファイル名、他の不正プログラムでも使われているファイル名でも使われています。

キーロガー、スクリーンキャプチャ、自己消去機能あり

今回使われているトロイの木馬は、以下のようなものでした。
https://twitter.com/mikamiyoh/status/255973026208833536
トレンドマイクロが本日10月10日に対応(発見は10/9)しており、トレンドマイクロでは「BKDR_SYSIE.A」という名称になっています。このトロイの木馬は、以下のような機能を持っていました。

・パソコン画面の記録(スクリーンキャプチャ)

・ファイルのアップロード・ダウンロード

・プログラムの実行

・特定URLを隠したままでオープン

・キーロガー、マウス操作記録

・プログラムの自動アップデート

・一定時間でのスリープ機能(パソコンのスリープ)

・C&Cサーバー(命令サーバー)のからの命令待ち受けのために休眠状態に入る機能(スリープ)

・外部コマンドにより自己消去機能

10月11日0時50分訂正追記
スリープの部分の訳が間違っていたので直しました。ご指摘いただいた @Rutice_jp さん、ありがとうございます!

(詳しいデータシートはこちら)
bot、遠隔操作のトロイの木馬としては、フル装備のものだと言っていいでしょう。ほとんどすべて操作が可能な上に、消去機能も持っています。これに入られてしまっては、パソコンは丸裸、外から自由に操作し放題になります。
もちろん今回問題となった、掲示板などへの書き込みも外部から可能になります。

配布元は犯人による独自サイト?2ちゃんねるから誘導

今朝の記事「PC遠隔操作ウイルス、お茶の水女子大付属幼稚園で三件目の被害。単独犯の可能性も(ライター三上洋事務所)」で、焦点は「配布元」と書きましたが、これも判明しました。
https://twitter.com/mikamiyoh/status/255973845683535872
2ちゃんねるで誘導リンクを張って、犯人が用意したと思われる配布サイトへ誘導していました。この配布サイトはすでに閉鎖されているそうです。
手口としては

1:犯人が関係のないソフトウェアを入手
2:インストール実行ファイルを改変し、「iesys.exe」を入れる
3:独自の配布サイトを用意し、「iesys.exe」入りのソフトをアップロード
4:2ちゃんねるなどでURLリンクを張って誘導
5:安易にインストールしてしまったユーザーのパソコンを乗っ取り

という流れだと想像できます。「iesys.exe」はウイルスではなく、トロイの木馬であり、感染機能は持っていません。そのためファイル配布という手段をとっているのでしょう。

本日夜にTBSラジオ「ニュース探求ラジオ Dig」で解説

この件について、本日10月10日22:30ごろ、TBSラジオのDigで、この事件の解説をします。TBSラジオ954KHzだけでなく、下記のリンクのネット生放送であれば全国で聞くことができます。よろしければお聞きください。
http://www.tbsradio.jp/dig/index.html


===========
最新記事もご参考にどうぞ(10/16 18:30)
TBSラジオDig・落合洋司弁護士あての犯行声明。私が出演していたラジオの生放送中に届いていた!
===========

Comments are closed.

ITジャーナリスト・三上洋



セキュリティ、携帯電話・スマートフォン、携帯電話料金、ライブメディアのライター・ジャーナリスト
Twitter:mikamiyoh
Facebook:Yoh Mikami
電話番号・メールはこちら

Powered by WordPress, WP Theme designed by WSC Project. ログイン