偽の Flash アップデートには Flash が必要


By アンドリュー・ブラント / Andrew Brandt

あなたが米国にお住まいなら、スポーツやバーベキューをしたり、夏休みの最後の週末を屋外で楽しく過ごしたりしたことでしょう。残念なことに、大規模な山火事による煙と灰で覆われたここボルダーにはそのような選択肢はありませんでした。有毒な煙に包まれた晴天の日にマルウェア アナリストが屋内でできることと言えば何でしょう。もちろん、貴重な時間を Koobface に費やすことです。
このワームの動作を詳しく調べたところ、Migdal キーロガー サイトが Koobface のために闇に葬られた後、Koobface パスワード スティーラー ペイロードで盗み出した認証情報の引き渡し場所が新しいドメイン m24.in に変更されていることが判明しました。この Web サイトはインドを拠点とするある種のメディア企業です。私が確認したこのキーロガーの動作は、過去の投稿で報告した Migdal 型で使用されていたものと実質的に同じでした。このペイロードは m24.in.exe という名前で、Migdal ペイロードと同様に、盗み出したパスワードをポストするドメインにちなんで命名されています。


このワームの基本的な感染方法が変更されてからしばらく経過しています。Koobface は出現以来ほぼずっと、感染したユーザーのソーシャル ネットワーク アカウントを操作し、ユーザーが動画へのリンクを投稿したように見せかけて拡散してきました。もちろん、このワームはユーザーの名前を使用して投稿します。リンク先は動画ストリーミングを行うと称するページを指していますが、実際にはアクセスしたすべてのユーザーにマルウェアをプッシュします。
また、本物のオンライン動画に見せかけるために、Flash を使用しています。
この偽の動画の全体的な見た目はこのところ変わっていませんが、コンテンツは定期的に変更されます。現在のページの内容 (この 4 月に出現) は、「Video posted by … Hidden Camera (… による隠しカメラ映像)」というタイトルで、出現以来更新されておらず、現在も使用されています。

この動画ページでは、Flash Player 10.37 をダウンロードしてインストールするようにすすめられます。ちなみに、Adobe は最近 Flash をバージョン 10.1 に更新したばかりです。ひょっとしたらこのファイルは Koobface のメイン インストーラーかもしれません。実を言うと少なくともこの週末まで、実際に Adobe Flash がインストールされていなければこの動画ページで詐欺を働くことができないとは考えもしていませんでした。この間抜けなマルウェアのトリックをご説明しましょう。Flash がインストールされていないテスト マシンに表示された内容は次のとおりです。

上の画面では、Internet Explorer によって、動画表示ページのフレーム内とページ上部の両方に、Flash のインストールを要求する警告が表示されています。
表示される動画ウィンドウは Ajax を実装したインタラクティブな Web ページのように見えますが、実際は Flash の .SWF ファイルをページのフレーム内で再生しています。また、この Flash 動画のスクリプトは、ユーザーがマウス カーソルを「動画」の上に置くたびに Koobface インストーラー (通常は「setup.exe」のような一般的な名前) をブラウザーにダウンロードさせようとします。

つまり、この Flash 動画は、実際には偽の動画ページに埋め込まれた偽の Flash 更新メッセージを表示する動画ということです。まだ Flash をインストールしていないユーザーの方は、この Flash と言われているものをインストールする前に Flash をインストールする必要があります。

ただ、偽の仕組みが二重になってもワームのダメージが単に無力化されるわけではないのが残念です。次の画像は、感染する過程でダウンロードされるペイロードの一部です。

Koobface は、引き続き感染したコンピューターに p.exe でバックドアをインストールし、ファイアウォールにポートを開き、ff2ie.exe でクッキー データを Firefox から引き出し、m24.in.exe で FTP 認証情報を盗み出します。インストールが完了すると、このワームは、ブラウザー ウィンドウを開いて偽の「ウイルス対策スキャン」ページにアクセスする指示が書かれたコマンドを受け取り、さらなる感染に導きます。幸い、Koobface の作成者が怠慢なのか能力がないためか、ウェブルートでは感染したコンピューターからこのワームを簡単に検出して除去することができています。

wordpress blog stats