海賊版サイトへのアクセスをブロックするだけのマルウェア 29
ストーリー by headless
攻撃 部門より
攻撃 部門より
海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。
Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。
また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。
hosts ファイルに追加されるエントリは ThePirateBay など数100~1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。
Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。
また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。
hosts ファイルに追加されるエントリは ThePirateBay など数100~1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。
Microsoft Defenderがあれば安心 (スコア:3, おもしろおかしい)
hostsファイルへの書き込みは脅威認定されて元に戻されるから
もしもhostsファイルを書き換えられても海賊版サイトへアクセスできます。
#あれ?
海賊版サイトへアクセスをブロックするだけかあ (スコア:1)
と油断して駆除を怠ったりしてると
なにかのきっかけで別の有害な動作を始めるような仕組みになったりはしていないのだろうか。
メーカーが放流したマルウェアでは? (スコア:1)
torrentによる海賊版の流通を妨害するため、ゲームや映像メーカーがマルウェア入りのtorrentファイルを流すのは理にかなっている。
メーカーによるものなら、海賊版サイトへのアクセスをブロックするだけなのも自然だ。
Re: (スコア:0)
理にかなってはないだろ、ダウンロードされたものが想定外の動作することやや人種差別的文字列のパディングファイルは普通にアウトだよ。
Re: (スコア:0)
あんたの考える法規範の話なんかしていないぞ。
Re: (スコア:0)
法規範?それこそそんな話はしていないと思われるが。
一部の考える正義のためなら何でもしていいわけじゃないぞ。
マルウェア的動きをするからダメ。それだけ。
欲しい (スコア:1)
なにがしたいのやら (スコア:0)
海賊版サイトへのアクセスをブロックすることと
人種差別表現を並べたゴミファイルをダウンロードすることと
関連なさすぎて意味不明
Re: (スコア:0)
Waresはネトウヨとか割厨はブサよ的な主張では
Re: Re:なにがしたいのやら (スコア:1)
圧縮ファイルハッシュ値を変えるため
数100 (スコア:0)
数100~1,000件
数百~1,000件、って直したくなるんだけど、みんな違和感ないのかなあ。
Re: (スコア:0)
漢数字とアラビア数字を並べるほうが統一感なくて気持ち悪い
Re: (スコア:0)
千件なら1 000件
1万件なら1,0000件だよね
Re: (スコア:0)
十万件なら,1,00000件
百万件なら,1,000000件と
なるわけですね.よくわかりました.
Re: (スコア:0)
それは「数100」も「数百~1,000」も同様なので、どちらの気持ち悪さを許容するかという話ですよ。
Re: (スコア:0)
そうか?
~の左と右どちらにも数字があるのと一方は漢数字だけというのは違うように思えるけど。
左を数百にするなら右も千だろ。
Re: (スコア:0)
そもそも変換出来ないのが問題だろ
海賊版サイト (スコア:0)
勝手に海賊版サイト認定されてhostsに追加されたらきつそう
Re: (スコア:0)
ブロックされても文句言わないような実際の違法サイトでテストして
いざユーザー(被害者)が増えると、ちゃんとしたサービスサイトを対象にし始めて、
hostsから外して欲しければ金を払え、で商売とか。
Re: (スコア:0)
1
中学高校で英語を習った身としてはホスツ以外の読み方を思いつきませんでした。
cron をクロンとは読めますが、クーロンは全然わかりません。
多分、本とか ML で学んだからではないかと思ってます。
Re: (スコア:0)
1.以外は無理矢理ひねり出したような読み方だけどそもそも元コメは何て読んでんだろうな
Re: (スコア:0)
ホストスはリアルに聞いたことがあるから
わざわざ作ったんじゃないと思うよ。
#インスツールとディスクトップに匹敵するモニャモニャ感があった。
Re: (スコア:0)
義務教育を終えていないような人がエンジニアをやっていると思うとゾッとする。
Re: (スコア:0)
えいちおーえすてぃーえすくらい思いついてほしい…
怒ってる時はえーえすえーぴー、急いでる時はえーさっぷ、死ぬほど急いでる時は無言。
Re: (スコア:0)
えっちおーえすてーえす
Re: (スコア:0)
はーてーおーえすてーえすだろ。
なんなんすかねあのいろんな国の表現が混ざったアルファベットの読み方。
Re: (スコア:0)
学生時代からの癖で「ほぅすつ」
話をする時は相手(だいたい「ほすつ」か「ほすと」)に合わせる
Re: (スコア:0)
よその会社の人ときっちり打合せしてるならホスツだろうけど、
社内のざっくりした打合せとか一人で仕事してる時の心の中の(たまに口に出る)
表現だと、ホストファイルって言ってる気がする。
「何を入れるか」だと「ホスト情報」なので、複数形にする必要も英語として正しい
複数形発音にする必要性もないし、それで語尾を変えるこたあないな、という判断。
ホステスさんはネタだよね?
仕事してる間にケバいオバちゃんのことなんて考えたくないわ