パスワードを忘れた? アカウント作成
15323830 story
海賊行為

海賊版サイトへのアクセスをブロックするだけのマルウェア 29

ストーリー by headless
攻撃 部門より
海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事TorrentFreakの記事HackRead の記事Ars Technica の記事)。

Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。

また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。

hosts ファイルに追加されるエントリは ThePirateBay など数100~1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年06月20日 18時56分 (#4054575)

    hostsファイルへの書き込みは脅威認定されて元に戻されるから
    もしもhostsファイルを書き換えられても海賊版サイトへアクセスできます。

    #あれ?

  • by Anonymous Coward on 2021年06月20日 23時59分 (#4054667)

    と油断して駆除を怠ったりしてると
    なにかのきっかけで別の有害な動作を始めるような仕組みになったりはしていないのだろうか。

  • by Anonymous Coward on 2021年06月21日 8時31分 (#4054721)

    torrentによる海賊版の流通を妨害するため、ゲームや映像メーカーがマルウェア入りのtorrentファイルを流すのは理にかなっている。
    メーカーによるものなら、海賊版サイトへのアクセスをブロックするだけなのも自然だ。

    • by Anonymous Coward

      理にかなってはないだろ、ダウンロードされたものが想定外の動作することやや人種差別的文字列のパディングファイルは普通にアウトだよ。

      • by Anonymous Coward

        あんたの考える法規範の話なんかしていないぞ。

        • by Anonymous Coward

          法規範?それこそそんな話はしていないと思われるが。
          一部の考える正義のためなら何でもしていいわけじゃないぞ。
          マルウェア的動きをするからダメ。それだけ。

  • by nullnull (41989) on 2021年06月21日 18時09分 (#4055100) 日記
    出来上がったhostsファイルだけ欲しい。
  • by Anonymous Coward on 2021年06月21日 7時25分 (#4054710)

    海賊版サイトへのアクセスをブロックすることと
    人種差別表現を並べたゴミファイルをダウンロードすることと
    関連なさすぎて意味不明

  • by Anonymous Coward on 2021年06月21日 8時53分 (#4054732)

    数100~1,000件

    数百~1,000件、って直したくなるんだけど、みんな違和感ないのかなあ。

    • by Anonymous Coward

      漢数字とアラビア数字を並べるほうが統一感なくて気持ち悪い

      • by Anonymous Coward

        千件なら1 000件
        1万件なら1,0000件だよね

        • by Anonymous Coward

          十万件なら,1,00000件
          百万件なら,1,000000件と
          なるわけですね.よくわかりました.

      • by Anonymous Coward

        それは「数100」も「数百~1,000」も同様なので、どちらの気持ち悪さを許容するかという話ですよ。

        • by Anonymous Coward

          そうか?
          ~の左と右どちらにも数字があるのと一方は漢数字だけというのは違うように思えるけど。
          左を数百にするなら右も千だろ。

    • by Anonymous Coward

      そもそも変換出来ないのが問題だろ

  • by Anonymous Coward on 2021年06月21日 10時01分 (#4054758)

    勝手に海賊版サイト認定されてhostsに追加されたらきつそう

    • by Anonymous Coward

      ブロックされても文句言わないような実際の違法サイトでテストして
      いざユーザー(被害者)が増えると、ちゃんとしたサービスサイトを対象にし始めて、
      hostsから外して欲しければ金を払え、で商売とか。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...