[Messenger Worm] Skypeを媒介とするマルウェア 再流行

2012/10/7 

Skype

現在進行形で急速に拡散しているようですね。
過去にも数回ほぼ同じ手口のマルウェア(ウイルス)は出まわっており、またか・・・というのが正直な感想です。
同様のメッセンジャーワームと考えてよいでしょう。

Skypeを媒介とする」と書きますと、少々語弊がありますかね。
「Skypeのチャットを拡散に利用するマルウェア」といった方が正しいでしょうかね。
Skype自体がマルウェアの感染の原因と誤解を与えないためにも。 
以前には、Yahoo!メッセンジャーやLiveメッセンジャーなども対象となったこともあります。

Twitterやブログ、SNS等でこの件についての注意喚起等が行われていますが、
それらには誤りや、不適切な対処方法などが含まれている場合があるので注意が必要です。

また、マルウェアの動作が変化する可能性も十分ありますので、固定的な情報にとらわれず、
常に正しい最新の情報を入手するように心がけたいものです。
さらに悪意の有るずる賢い人間が便乗して、悪質な情報を流布するということも十分に考えられます。


さて、今回は、

「lol is this your new profile pic? 」

というメッセージと共に、goo.glの短縮URLの形でマルウェアのダウンロードURLが送られてくるようです。
以下の様な形式で、短縮URLの末尾には「img=」というパラメータが付加されている模様。
また、マルウェアが直接ファイル送信されたという報告もあります。
いずれにせよ、ユーザー自身がそのファイルを実行しない限り、感染しません。

hxxp://goo.gl/SAOmJ
⇒ hxxp://hotfile.com/dl/174771453/720762e/skype_03102012_image.zip.html

hxxp://goo.gl/frbXD
⇒ hxxp://hotfile.com/dl/174868532/a8009ef/skype_04102012_image.zip.html

hxxp://goo.gl/agsIb
⇒ hxxp://hotfile.com/dl/174887318/f59c5c2/skype_04102012_image.zip.html

hxxp://goo.gl/AzaqI
⇒ hxxp://hotfile.com/dl/175002041/debb544/skype_05102012_image.zip.html

hxxp://goo.gl/QYV5H
⇒ hxxp://hotfile.com/dl/175082698/230fce5/skype_05102012_image.zip.html

hxxp://goo.gl/UPhHf
⇒ hxxp://hotfile.com/dl/175180403/4b2da19/skype_06102012_image.zip.html

hxxp://goo.gl/5q1sx
⇒ hxxp://hotfile.com/dl/175339084/d951071/skype_08102012_image.zip.html

ファイルは以下が確認されています。

skype_04102012_image.zip
⇒  skype_04102012_image.exe
  (MD5: 393b4c117e15fbcfe56f560a8e6a3f0c)
https://www.virustotal.com/file/393b4c117e15fbcfe56f560a8e6a3f0c/analysis/
  (MD5: 33a4abe55c232e2d4e1618e796fcadd0)
https://www.virustotal.com/file/33a4abe55c232e2d4e1618e796fcadd0/analysis/


skype_05102012_image.zip
⇒ skype_05102012_image.exe
  (MD5: 98f74b530d4ebf6850c4bc193c558a98)
https://www.virustotal.com/file/98f74b530d4ebf6850c4bc193c558a98/analysis/
  (MD5: 50faebe8d3876c1c81b3bfab781fdcd6)
 https://www.virustotal.com/file/50faebe8d3876c1c81b3bfab781fdcd6/analysis/


skype_06102012_image.zip
⇒ skype_02102012_image.exe
  (MD5: e8e2ba08f9aff27eed45daa8dbde6159)
https://www.virustotal.com/file/e8e2ba08f9aff27eed45daa8dbde6159/analysis/

0day.jpから解析結果来てますね。

http://pastebin.com/raw.php?i=mvTAbQBB


skype_08102012_image.zip
⇒  skype_08102012_image.exe
  (MD5: e3af8159d2f1af293bb43cd41d4171db)
https://www.virustotal.com/file/e3af8159d2f1af293bb43cd41d4171db/analysis/

Dorkbot(Worm.NgrBot)の亜種と考えられますが、C&C機能を有していると見られ、実際のペイロードは解析をしてみないとわかりません。
C&Cサーバーからの指令が変われば動作も当然変わりますから、安直な判断は避けた方がよいでしょう。
過去のDorkbotではユーザーモードルートキットがあり、HTTP通信のフック、ID・パスワードの収集や、
特定サイトのアクセスをブロックなどの動作が確認されています。。

以下、参考リンク

【注意喚起】短縮URLを受け取った際は注意しましょう – Skype Support Network
Skype spam virus – Skype Support Networ

VBA32: Жалобы пользователей Skype на вирус (обновлено)
GFI Labs: Infection Spreads Profile Pic Messages to Skype Users
Lavasoft: Nrgbot
MMPC Malware encyclopedia: Worm:Win32/Dorkbot(この亜種)
MMPC Threat Research & Response Blog: MSRT March 2012: Breaking bad
Trend Micro: 「WORM_DORKBOT
ThreatExpert Report: 0xE8E2BA08F9AFF27EED45DAA8DBDE6159
ネットセキュリティブログ: 《緊急!》 スカイプをお使いの皆様へ

追記  2012/10/8

C&Cサーバーからの命令が変更された可能性あり。
マルウェアの挙動が変化したとの報告。 また、メッセージも日本語に変えられている。
また、ユーザーモードルートキットもやはり使われており、ファイル・プロセス隠蔽を行う模様。
通常起動状態で、昨日から拡散されている「%AppData%」直下のファイル削除は無効
実際はまだマルウェアが活動している可能性あり
ユーザーモードRootkitなので、セーフモードで回避可能。

「ちょっとこれはあなたの新しいプロフィールの写真ですか?」

hxxp://bit.ly/Q4PJwi
⇒ hxxp://hotfile.com/dl/175295106/caedd26/Skype_image.zip.html
 ⇒ Skype_image.zip
  ⇒ DCIM_Skype_000001912389749812509890239498.exe
     (MD5: fc7b54092c89c8932522e991053dade3)
https://www.virustotal.com/file/fc7b54092c89c8932522e991053dade3/analysis/

短縮URLはbitlyが確認できた。
統計ページ https://bitly.com/Q4PJwi+をみると、本日からアクセスされており、米国・日本で6割近く占めている。

追記 2012/10/9

また、新しいファイルが出回っている模様。
(通りすがり様、情報提供に感謝致します。)

hxxp://goo.gl/f8p21
hxxp://bit.ly/R3idpH
⇒ hxxp://hotfile.com/dl/175457113/d75712b/skype_09-10-2012_image.zip.html
hxxp://goo.gl/Ya6Se
⇒ hxxp://hotfile.com/dl/175555323/ec902fc/skype_09-10-2012_image.zip.html

skype_09-10-2012_image.zip
   ⇒ skype_09-10-2012_image.exe 
     (MD5: b9f6b844599bd50e67c3337d14eff8cf) 
https://www.virustotal.com/file/b9f6b844599bd50e67c3337d14eff8cf/analysis/
     (MD5: 1c9bcdb4362c581d4a1836585e01ea78)
https://www.virustotal.com/file/1c9bcdb4362c581d4a1836585e01ea78/analysis/

追記 2012/10/11

まだまだ、マルウェアの投入は続く。ホスティングサービスがHotfileからsendspaceに変わった。
通りすがりの鳥様、情報提供ありがとうございました。

hxxp://goo.gl/B463c
⇒ hxxp://www.sendspace.com/pro/dl/lzev7a
hxxp://goo.gl/CqhLB
⇒ hxxp://www.sendspace.com/pro/dl/r4jjck
hxxp://goo.gl/bZk4k
⇒ hxxp://www.sendspace.com/pro/dl/aqka0v

ただ、確認が遅かったので落ちてくるファイルを確認できませんでした。
日付的には「skype_11-10-2012_image.zip」か「skype_11102012_image.zip」か、それとも全く別か。

各社、解析記事出揃いましたね。

Skype: Skypeのインスタントメッセージ(IM)を使ったウィルスについてのお知らせ。
avast!: Avast Virus Lab analysis of Dorkbot with Skype hijacker
Symantec: W32.Phopifas、釣りリンクで 250 万回以上のクリックを誘導
Trendmicro: Skype経由で拡散するワーム「WORM_DORKBOT」
Microsoft(MMPC): An analysis of Dorkbot’s infection vectors (part 1)


Comments

11 Responses

  1. 通りすがり より:

    自分のところにもskype_09-10-2012_image.zipの短縮URL付きのメッセージが送られてきました。
    そのファイルでしたら提供できます。
    短縮URLは送り主が感染に気づいた後に削除してしまって分からないので、
    ファイルをどこかにアップロードしてそのURLをここに貼り付ければいいのでしょうか?

  2. 通りすがり様、誠にありがとうございます。助かります。

    http://blog.babibubebo.org/contact
    こちらのページ上部に記載されているMailアドレスへ添付してメール送信頂ければ幸いです。

    もちろんどちらかにアップロード頂いても結構です。
    その際は念のために安全上、パスワード等の設定をお願い申し上げます。

    お手数をお掛け致しますが、宜しくお願いします。

  3. 通りすがりの鳥 より:

    ちょっとこれはあなたの新しいプロフィール写真ですか?
    hxxp://goo.gl/B463c?img=スカイプ名 

    というメッセージで送られてきました。
    何通か受け取ったので、大規模な感染が予想されます。

  4. >通りすがり様
    メールの方、確かにお受け取り致しました。
    わざわざご連絡いただきありがとうございました。

    >通りすがりの鳥様
    コメントありがとうございます。
    (URLがリンクされてしまっていたので、一部修正させていただきました。)

    早速、記事の方に追加させていただきました。
    情報提供に感謝したします。

  5. milksizegene より:

    ショウヘイさん、ご無沙汰しております。僕は7日と8日の検体は採取できたのですが、それ以後は採取出来ていません。

    しかも未だ配布サイトを変更して続いているとは知りませんでした。

    このウイルスについて掲示板の方に興味深い症状の御投稿がありました。

    http://milksizegene.bbs.fc2.com/?act=reply&tid=4770558

    光学媒体を使用した拡散機能もあるのでしょうかね。

    他にもマカフィーの検出名のようにランサムウェアのような挙動を示すこともあるとか・・・。

  6. milksizegeneさん、コメントありがとうございます。
    お久しぶりです。本件に関しましても検証お疲れ様です。

    日本では爆発的に広まった8-9日以降も新しいファイルの投入は続いていました。
    昨日12日から、新しい情報が入ってこないので一応収束と見て良いのでしょうかね?
    攻撃者は十分感染させることができたと見て、拡散を終了させたのかも…しれません。

    どうやら以前のDorkbotと同じく、リムーバブルドライブの自動再生(Autorun)を用いた感染手段ももっているということですね。
    目に見える今回のようなSkypeのテキストメッセージによる感染活動は収束したものの、これで終わりではないということですね。
    Rootkitも用いられていることから、完全に駆除ができていない方々も少なからずいるはずです。

    解析情報によると、ランサムウェアの機能も実装されていたとのことです。
    C&Cサーバーからの命令によって何をロードされるかもわかりませんし。。。

    本記事に記載したファイルの検体はありますので、もし必要でしたらご連絡いただければ差し上げますb

  7. milksizegene より:

    ショウヘイさん、ご返信をありがとうございます。

    スカイプのマルウェアについてですが、このような記事もありました。

    http://news.livedoor.com/article/detail/7038338/

    こちらは添付ファイルのようですが・・・。dorkbotにつきましては僕も新しい情報は確認していませんので終息したのでしょうかね。

    また今回のdorkbotによるリムーバブルメディアにおける挙動をkrellさんが解析してくれました。

    http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1095523940

    よろしければご参照ください。

    最後に検体のほうをいただけますでしょうか?よろしくお願いいたします。

  8. milksizegeneさん、こんばんは。お疲れ様です。

    ほほう、今度はスパムメールですか・・・
    Skypeユーザー狙われまくりですね。やはりランサムウェアの挙動も確認されていますね。
    いかにソーシャルエンジニアリングが攻撃者にとって効率的であるか実感しますね。

    知恵袋の方、拝見致しました。
    krellさんも、詳細な解析をお疲れ様です。
    Autorun抑制Updateも実施されたことから、リムーバブルドライブ経由の感染手法も変わっているのですね。
    同名のショートカット作成で誘導とは…確かに騙されやすいですね。
    複合的な感染手段を持つ非常に実用重視のマルウェアだと感じられます。

    また、以下にマルウェア検体を置いておきます。(※研究目的で配布しております。)
    skype_dorkbot_20121015(2.24 MB)
    (パスワード: infected)

    それではまた、宜しく願います。

  9. milksizegene より:

    ショウヘイさん、検体のご提供をありがとうございます。今、DLさせていただきました。

    複合感染手段を有する実用重視型のマルウェア・・・。

    まったく悪い意味での実用化ばかり進むとは困ったものですよ。

    マルウェア配布の手口に新たな動き、MSセキュリティ報告書で指摘

    http://www.itmedia.co.jp/enterprise/articles/1210/11/news031.html

    マルウェア配布方法も巧妙かつ悪質により変化していくのでしょうね。

    それではありがとうございました、失礼します。

  10. 匿名 より:

    初めまして。
    友人よりスカイプメッセージで、唐突にURLが送られてきたので調べていたらここにたどりつきました。
    短縮URLとかではなく、hxxp://www.baidu.com/url=ZejXwn5CZXnOkhGEEok78hAzHdazKORsaIGdO_bHZwC#76110=SKYPE ID
    といったものだけ、ぽんっと送られており(知恵袋の質問は質問じゃなかったのでよくわからなかったですhttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12166190462)
    短縮以外でのURLは前例を調べているのがこの知恵袋での上記のURLしか出てこないのですが、何かわかりませんか?
    (実際送られたURLはhxxp://www.baidu.com/link?url=jbvRe4JU9gXC7RFO9XAhVIVlCHbXi76jKsJvr77VX93#dybugepa=skype ID)
    現在友人に連絡をとって、マイコンピュータ内やコントロールパネル内の様子を教えてもらえる様にチャット飛ばしたのですが、早朝ということもあり、なかなか連絡つかず時間かかりそうです。

コメントを残す

メールアドレスが公開されることはありません。