[Messenger Worm] Skypeを媒介とするマルウェア 再流行

4 分で読める

現在進行形で急速に拡散しているようですね。
過去にも数回ほぼ同じ手口のマルウェア(ウイルス)は出まわっており、またか・・・というのが正直な感想です。
同様のメッセンジャーワームと考えてよいでしょう。

Skypeを媒介とする」と書きますと、少々語弊がありますかね。
「Skypeのチャットを拡散に利用するマルウェア」といった方が正しいでしょうかね。
Skype自体がマルウェアの感染の原因と誤解を与えないためにも。 
以前には、Yahoo!メッセンジャーやLiveメッセンジャーなども対象となったこともあります。

Twitterやブログ、SNS等でこの件についての注意喚起等が行われていますが、
それらには誤りや、不適切な対処方法などが含まれている場合があるので注意が必要です。

また、マルウェアの動作が変化する可能性も十分ありますので、固定的な情報にとらわれず、
常に正しい最新の情報を入手するように心がけたいものです。
さらに悪意の有るずる賢い人間が便乗して、悪質な情報を流布するということも十分に考えられます。


さて、今回は、

「lol is this your new profile pic? 」

というメッセージと共に、goo.glの短縮URLの形でマルウェアのダウンロードURLが送られてくるようです。
以下の様な形式で、短縮URLの末尾には「img=」というパラメータが付加されている模様。
また、マルウェアが直接ファイル送信されたという報告もあります。
いずれにせよ、ユーザー自身がそのファイルを実行しない限り、感染しません。

hxxp://goo.gl/SAOmJ
⇒ hxxp://hotfile.com/dl/174771453/720762e/skype_03102012_image.zip.html

hxxp://goo.gl/frbXD
⇒ hxxp://hotfile.com/dl/174868532/a8009ef/skype_04102012_image.zip.html

hxxp://goo.gl/agsIb
⇒ hxxp://hotfile.com/dl/174887318/f59c5c2/skype_04102012_image.zip.html

hxxp://goo.gl/AzaqI
⇒ hxxp://hotfile.com/dl/175002041/debb544/skype_05102012_image.zip.html

hxxp://goo.gl/QYV5H
⇒ hxxp://hotfile.com/dl/175082698/230fce5/skype_05102012_image.zip.html

hxxp://goo.gl/UPhHf
⇒ hxxp://hotfile.com/dl/175180403/4b2da19/skype_06102012_image.zip.html

hxxp://goo.gl/5q1sx
⇒ hxxp://hotfile.com/dl/175339084/d951071/skype_08102012_image.zip.html

ファイルは以下が確認されています。

skype_04102012_image.zip
⇒  skype_04102012_image.exe
  (MD5: 393b4c117e15fbcfe56f560a8e6a3f0c)
https://www.virustotal.com/file/393b4c117e15fbcfe56f560a8e6a3f0c/analysis/
  (MD5: 33a4abe55c232e2d4e1618e796fcadd0)
https://www.virustotal.com/file/33a4abe55c232e2d4e1618e796fcadd0/analysis/


skype_05102012_image.zip
⇒ skype_05102012_image.exe
  (MD5: 98f74b530d4ebf6850c4bc193c558a98)
https://www.virustotal.com/file/98f74b530d4ebf6850c4bc193c558a98/analysis/
  (MD5: 50faebe8d3876c1c81b3bfab781fdcd6)
 https://www.virustotal.com/file/50faebe8d3876c1c81b3bfab781fdcd6/analysis/


skype_06102012_image.zip
⇒ skype_02102012_image.exe
  (MD5: e8e2ba08f9aff27eed45daa8dbde6159)
https://www.virustotal.com/file/e8e2ba08f9aff27eed45daa8dbde6159/analysis/

0day.jpから解析結果来てますね。

http://pastebin.com/raw.php?i=mvTAbQBB


skype_08102012_image.zip
⇒  skype_08102012_image.exe
  (MD5: e3af8159d2f1af293bb43cd41d4171db)
https://www.virustotal.com/file/e3af8159d2f1af293bb43cd41d4171db/analysis/

Dorkbot(Worm.NgrBot)の亜種と考えられますが、C&C機能を有していると見られ、実際のペイロードは解析をしてみないとわかりません。
C&Cサーバーからの指令が変われば動作も当然変わりますから、安直な判断は避けた方がよいでしょう。
過去のDorkbotではユーザーモードルートキットがあり、HTTP通信のフック、ID・パスワードの収集や、
特定サイトのアクセスをブロックなどの動作が確認されています。。

以下、参考リンク

【注意喚起】短縮URLを受け取った際は注意しましょう - Skype Support Network
Skype spam virus - Skype Support Networ

VBA32: Жалобы пользователей Skype на вирус (обновлено)
GFI Labs: Infection Spreads Profile Pic Messages to Skype Users
Lavasoft: Nrgbot
MMPC Malware encyclopedia: Worm:Win32/Dorkbot(この亜種)
MMPC Threat Research & Response Blog: MSRT March 2012: Breaking bad
Trend Micro: 「WORM_DORKBOT
ThreatExpert Report: 0xE8E2BA08F9AFF27EED45DAA8DBDE6159
ネットセキュリティブログ: 《緊急!》 スカイプをお使いの皆様へ

追記  2012/10/8

C&Cサーバーからの命令が変更された可能性あり。
マルウェアの挙動が変化したとの報告。 また、メッセージも日本語に変えられている。
また、ユーザーモードルートキットもやはり使われており、ファイル・プロセス隠蔽を行う模様。
通常起動状態で、昨日から拡散されている「%AppData%」直下のファイル削除は**無効**
実際はまだマルウェアが活動している**可能性あり**。
ユーザーモードRootkitなので、セーフモードで回避可能。

「ちょっとこれはあなたの新しいプロフィールの写真ですか?」

hxxp://bit.ly/Q4PJwi
⇒ hxxp://hotfile.com/dl/175295106/caedd26/Skype_image.zip.html
 ⇒ Skype_image.zip
  ⇒ DCIM_Skype_000001912389749812509890239498.exe
     (MD5: fc7b54092c89c8932522e991053dade3)
https://www.virustotal.com/file/fc7b54092c89c8932522e991053dade3/analysis/

短縮URLはbitlyが確認できた。
統計ページ https://bitly.com/Q4PJwi+をみると、本日からアクセスされており、米国・日本で6割近く占めている。

追記 2012/10/9

また、新しいファイルが出回っている模様。
(通りすがり様、情報提供に感謝致します。)

hxxp://goo.gl/f8p21
hxxp://bit.ly/R3idpH
⇒ hxxp://hotfile.com/dl/175457113/d75712b/skype_09-10-2012_image.zip.html
hxxp://goo.gl/Ya6Se
⇒ hxxp://hotfile.com/dl/175555323/ec902fc/skype_09-10-2012_image.zip.html

skype_09-10-2012_image.zip
   ⇒ skype_09-10-2012_image.exe 
     (MD5: b9f6b844599bd50e67c3337d14eff8cf) 
https://www.virustotal.com/file/b9f6b844599bd50e67c3337d14eff8cf/analysis/
     (MD5: 1c9bcdb4362c581d4a1836585e01ea78)
https://www.virustotal.com/file/1c9bcdb4362c581d4a1836585e01ea78/analysis/

追記 2012/10/11

まだまだ、マルウェアの投入は続く。ホスティングサービスがHotfileからsendspaceに変わった。
通りすがりの鳥様、情報提供ありがとうございました。

hxxp://goo.gl/B463c
⇒ hxxp://www.sendspace.com/pro/dl/lzev7a
hxxp://goo.gl/CqhLB
⇒ hxxp://www.sendspace.com/pro/dl/r4jjck
hxxp://goo.gl/bZk4k
⇒ hxxp://www.sendspace.com/pro/dl/aqka0v

ただ、確認が遅かったので落ちてくるファイルを確認できませんでした。
日付的には「skype_11-10-2012_image.zip」か「skype_11102012_image.zip」か、それとも全く別か。

各社、解析記事出揃いましたね。

Skype: Skypeのインスタントメッセージ(IM)を使ったウィルスについてのお知らせ。
avast!: Avast Virus Lab analysis of Dorkbot with Skype hijacker
Symantec: W32.Phopifas、釣りリンクで 250 万回以上のクリックを誘導
Trendmicro: Skype経由で拡散するワーム「WORM_DORKBOT」
Microsoft(MMPC): An analysis of Dorkbot’s infection vectors (part 1)

comments powered by Disqus