PC乗っ取りウィルス IESYS.EXE。正しい情報は?

掲示板のスレッド経由の遠隔操作で犯罪予告を行う「iesys.exe」の正体まとめ - GIGAZINE
後発ニュースですが、GIGAZINE には比較的正確な情報が載っています

ですが、
秒刊SUNDAY とその記事を引用している マイナビニュースの記事はちょっと微妙です

2chで広まった遠隔操作ウイルス「iesys.exe」を早速ダウンロードしてみた | キャリア | マイナビニュース


ウィルスは最新のWindows 7にも感染する可能性あり。

・ダウンロードしてみた
ダウンロードしたのではなく、URLが分かったのでアクセスしてみた(ファイルは既に削除済み)なだけ

・Windows7など新しいOSであれば感染しないという。感染するOSは、Windows 98, ME, NT, 2000, XP, Server 2003であり、被害者はOSがWindowsVista以前のものである可能性が高い。

確かに、トレンドマイクロの情報ではVista/Windows 7は書いていない…。
BKDR_SYSIE.A | 危険度: 低 | トレンドマイクロ:セキュリティデータベース

しかし、Symantec の情報では Vista や 7が影響を受けると書かれている。
当然 UAC 切っていればウィルスは動作するということでしょう・ω・
UAC切る人なんていないだろ、とかいう人もいますが、レジストリ操作で簡単に無効にできるので、
管理権限のあるプロセスにレジストリ設定でUAC切らせてしまえば、後はいくらでも実行可能なんですよね。

Backdoor.Rabasheeta | Symantec

「う ちはWindows 7だから感染しない。古いOS使ってる奴はいい加減アップグレードしろ」なんてドヤ顔で言ってる人が結構いましたが、一つの情報だけを鵜呑みにして、自分 の環境を過信することこそ危険だと思います。しかも、ウィルスバスターのトレンドマイクロさんの情報ですし…。

後述していますが、98/Meで動作する可能性も極めて低いです。
ドライバファイルもあるので、これ、インストールしちゃうと、おそらくブルースクリーンでしょうね。

ウィルスの詳細情報

ちなみにウィルス情報についてはより詳細を知ることが可能です。

Antivirus scan for 746f911c631411f611308eaafb6c353d at 2012-09-07 10:00:55 UTC - VirusTotal
こ れを見ると Visual Studio VC# 2005 で開発されたもので、 .Net Framework 2.0 が必要であることが分かります。更に Unicode ベースですから、普通の Windows 98/Me だと動作せず、UNICOWSと.NET 2.0 ランタイムが必要なことが分かります。

コンパイル日時は 2012/07/31 19:31:44ですから、掲示板に書き込まれていたよりも後で作られた物ということが分かります。
おそらくSymantec Blogで言われている最初のバージョンが掲示板にアップされたもので、スキャンされたものが、後のバージョンなのでしょう

Malware Dubbed "The Remote Control Virus" by Japanese Media Used to Make Death Threats in Japan | Symantec Connect Community

プログラム内に「saltは必ず8バイト以上」という文字列が含まれているので、日本語がかなり堪能な者が犯人と書かれていますが、別サイトから丸丸コードをパクって来ただけですね。

パスワードで文字列を暗号化する: .NET Tips: C#, VB.NET
ちなみに、初出はこのサイト。

SALT ってのは、暗号化かける時に、ユーザーが簡単なパスワード使っちゃっても、SALTと混ぜることで暗号化をより複雑にするって仕組みだったはず・ω・

Rfc2898DeriveBytes コンストラクタ (String, Byte[]) (System.Security.Cryptography)
salt のサイズは 8 バイト以上であることが必要です。

まぁ、こういうこと。

svchost.exe に関するデマ情報

Twitter でかなり流れてたので、出所調べてみました。
多分2009年9月3日のこの書き込みが拡散されてる模様

焦ったパソコンのトラブル

256: ねこやなぎ(宮城県):2009/09/03(木) 17:57:15.77 ID: 2xE4GNtW
代表的なウイルス感染時の特徴 (単独、もしくは複数の下記症状が発生)

①常駐ソフト未起動時でsvchost.exeが5つ以上立ち上がってる(vistaの場合は5つ以上でも正常で判別できない)
②ゼロックスのプリンタやソフトウェアをインストールしていないのにProgramFilesフォルダ内にxeroxフォルダがある
③Windowsのexplorer.exeがしょっちゅう落ちる
④Winnyでアップフォルダファイルの読み込みに失敗する
⑤写真フォルダ/動画フォルダのサムネイル表示に異常に時間がかかる
⑥HDDから「カッコン」「ギギギギ・・・」といった耳慣れない大きな音が時々聞こえる
⑦スタンバイ状態にしているのに数分後勝手に電源が入る
⑧Winnyの起動に長い時間がかかるようになる。またCPUへの負荷が100%近くまであがる
⑨Windows終了時に「アドレス~のメモリの読み出しに失敗しました」とエラーが出る。
⑩Webサイトで同じログイン画面を2回以上繰り返させられる
⑪ブラウザやP2Pソフトを立ち上げていないのにルータやモデムのアクセスランプが点滅している
⑫他のプログラムが使用中というエラーが出てプログラムと関係なさそうなフォルダが削除できない
⑬動画や画像ファイルが詰まったフォルダを開くとexplorer.exeが落ちてフリーズする

これについては突っ込み所もあるので解説しましょう

① svchost.exe はネットワークサービスが利用するローダーでサービスの中身は Process ExplorerCurrPorts でチェックできる
pexp
ProcessExplorer では CommandLineを表示することでサービスを特定可能。

pexp2
CurrPorts では提供サービスの表示で特定可能

簡単だね・ω・?

② 10年くらい前に xerox(xエロx) ってフォルダがあったら、いかがわしいサイトでウィルスに感染している、ってネタがはやったものです。 xeroxってのはゼロックスのファイルなんだけど、ゼロックスのプリンタ使っていなくても、プリインストールされていたPCが多かったんだよね。うん

③と⑬ これはアドオンにバグがあるとIEって結構簡単に落ちるので
、ウィルスのせいとは言いがたい。
気になるならば、Dependency Walker や スペシャル猫まんまなどでロードモジュールを見るか、IE6SP2以降にある、アドオンの管理機能をチェックしてみる。 HijackThis でスキャンしてみるなどした方がいい。

⑤ サムネイル表示などが遅くて、CPU使用率が高いプロセスがないのであれば、EXPLORERが別スレッドでフリーズしている可能性や、HDDが壊れかけている可能性が高い。
取りあえず、EXPLORERやIEを全部閉じて開いてみよう。

アプリがフリーズして文書が保存できない時に諦めずに試すべき4つの事

⑥ HDD が壊れかけている可能性が高い。ウィルスに感染してなるわけじゃない。

⑦ NICドライバ(ネットワークドライバ)の設定やBIOSの設定で WakeOnLink という設定が実はある。
これが有効になっていると、ネットワークの通信が入ってきただけで、パソコンが起動してしまう。
ルーター越しならめったにないけど、直接パソコンがつながっている場合は、よく発生する現象でした。

でも、直接ルーターに穴をあけてる場所にアクセスがあるならば感染の恐れは確かにある。

⑨ 使っている常駐ソフトにバグがあって正常終了しない時に出るエラー。ただちに、ウィルスの感染と決定づけることはできない。

⑩ これはフィッシングサイトに感染してる時の症状、もしくは、ブラウザのクッキーが壊れているときの症状ですね

⑪こんな時こそ CurrPorts。最近はクラウド型の セキュリティソフトやメッセンジャー、自動アップデート型のプログラムがアクセスしてることも多いよ・ω・

⑫ Process Explorer で Find Handle or DLL で検索すると原因を調べられるよ。

PCのっとりウィルスの感染経路としたらばの関係は?

どうやら、2chのこんなソフトが欲しいって依頼スレッドがあって、そこで作られた Timer.zip ってファイルが出所こみたい ・ω・
この書き込み自体が依頼で別の人が書き込んだものなんだね。
Timer.zip の中に iesys.exe があって、感染すると したらばの掲示板に書いてある命令を定期的に見に行って、実行し、その結果も、したらばに書き込むようになっていたということらしい。

おすすめ

3件のフィードバック

  1. VE より:

    Twitterはほんとにデマが拡散しやすいですよね。
    ②はすごい有名なネタだと思うのに。
    というか、Winny使ってるならその時点で問題外な気がw

  2. どうやらウィルス作成者が出頭した模様ですが・・・。
    という事は日本人なんでしょうね。

  3. 四葉野玄馬(よつばのくろば) より:

    出頭じゃなく投稿でしたか。
    警察をおちょくってる感じですね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です