System Progressive Protection 感染実験に注意

3504

Smart Fortress 2012の血を引くFakeAV「System Progressive Protection」が、脆弱性攻撃のペイロードとして出回っているようです。

有志の皆さんに置かれては、System Progressive Protectionで感染実験してやろう、という血気旺盛な方もいらっしゃるかも分かりませんが、

このFakeAVに絡む不穏な兆候を発見しましたので、感染実験される方に私からひとつ、注意喚起をしておきたいと思います。

 

個人データの搾取をより効率化するためか、

System Progressive Protectionの実行ファイルにスパイウェア・バックドアが埋め込まれたタイプが存在しています。

このスパイウェアはTrojan-PSW.Win32.Tepfer(Kaspersky)などと呼ばれるもので、分類ではZbotの近縁種に当たります。

これらは実行されると、ブラウザ標準のパスワードマネージャにアクセスして保存されているアカウントを盗み出したり、バックドア機能を

使って攻撃者がPCをリモートで操作するのを助けたりします。

また特定のサイトに保存されたJavascriptファイルを実行して、ユーザーのおおまかな現在地を追跡する機能も有しています。

 

非常に危険なスパイウェアですので、これらが含まれたサンプルは絶対に実行しないでください。

 

では、どうすれば純粋なサンプルとスパイウェアに汚染されたタイプを見分けられるでしょうか?

VirusTotalに掛けて検査するのも方法としてはアリですが、そんなことをしなくても、見分ける方法はあります。

もし手元にこれから実行しようとしているSystem Progressive Protectionがあるなら、その集めたサンプルを並べてよく見てください。

・色の違い

aa

違いが分かるでしょうか。右のサンプルほど、鍵アイコンの色が濃くなっています。

本物は左端の、色あせたようなアイコンのサンプルです。

色の濃い鍵アイコンは、ほぼ100%の確率でスパイウェアが混入されています。気をつけてください。

 

・アイコンが汚れている

aaaa

左のアイコンは、明らかに黄色いマーカーの後のような模様がついています。

これは攻撃者が、さまざまなバージョンのFakeAVを作成した際に、自分も見分けがつくように施した細工で、

結構な確率で、オリジナルのサンプルに手が加えられています。実行しないほうが賢明でしょう。

 

・アイコンの位置が違う

aaa

縦に一列に並べてみたところです。上から二つ、三つ目のサンプルだけ、やや左に偏っています。

理由は分かりませんが、アイコンの位置が左右どちらかに寄っているサンプルも、ほぼ100%の確率でスパイウェアに汚染されています。

実行しないように注意しましょう。

 

最後、VirusTotalのスキャン結果を載せておきます。クリーンなサンプルは上記画像の0069.exeを、汚染されているほうは、

色の濃いアイコンを適当につまみ出して分析に掛けたものです。

クリーン:https://www.virustotal.com/file/8a79715f3e63650f8897a24ffe8b0301f447958b303ecd45ab00ac883ecbaf4f/analysis/

汚染:https://www.virustotal.com/file/cff1177bb0d3bc1000b389214b9414898da4a9fe800fca634ad92c3cd24146de/analysis/1354565863/

 

以上3点、気づいたので挙げておきました。

くれぐれも被害者にならないよう、気をつけて遊んでください。

では、眠いので寝ます。

System Progressive Protection 感染実験に注意」への2件のフィードバック

  1. こんにちは、トライデントさん。

    あららら・・・、そのような違いがあったのですか。全然知らずに先月は感染実験していましたね。このfake avは大量の改変種を出すせいか、検体を手に入れても3日程でfake av本体がおがめなくなりましたね。

    驚愕したのは以下です。

    >System Progressive Protectionの実行ファイルにスパイウェア・バックドアが埋め込まれたタイプ

    今までのfake avはfake本体というよりも感染時の抱き合わせで感染する、いわゆる複合感染が怖かったですが、このfake avは本体も危険なわけですね。

    僕の場合、ブラウザ標準のパスワードマネジャー等、ブラウザのキャッシュ履歴を残す設定には一切していませんが大丈夫かな…。

    1. コメントありがとうございます。
      そうなんですよ。私も感染実験してみようかなと思って実行したときに、FakeAVの画面が現れないのに、不審なプロセスがしっかりポートからDNSリクエストを送ってるのに気づいて今回の検証記事を書いてみるに至ったんですが、今まである程度の予想はできていたものの、FakeAV自体の汚染がここまで広がっているとは思いもしませんでした。もう、どれだけ探しても純粋なSystem Progressive Protectionのサンプルが手に入らないんですよ。

      また上記記事で書き忘れていましたが、ファイルサイズが500KB以上だと疑わしい、600~700KB以上であればほぼ確実にスパイウェアが含まれているようです。

      感染実験はお気をつけて。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中