韓国へのサイバー攻撃の源の【正規ソフト】が色々酷い件
| 韓国大統領府のウェブサイトは25日午前9時半ごろから、通常のページに代わって一時、北朝鮮のキム・ジョンウン第1書記を称賛するような文章が表示され ました。大統領府がウェブサイトへの外部からの接続を遮断して復旧作業を進めた結果、およそ6時間後に通常のページの閲覧が可能になりました。 |
という事なので、SIMDISK (SimDisk.exe) ってなんなのか調べてみました。
まず、SimDisk.exe とやらを入手
ファイルが SimComs.やinterhouse 製になってるんですが
どうやら、 interhouseの方は、 wikipress.co.kr って所とドメインの所有者は同じらしい。
インストールすると、
http://fdisk.co.kr/mmsv/winup/CP/にアクセスして
Winup3.0_down_wp021.exe
winupbg_wp021.exe
等のファイルを取得してインストールしようとする。
simdiskCMC.dllは Mureka Inc. になってるんですが、 airmonitor.co.kr って所の作ったものらしい。
ネットワーク監視用のマルウェアっぽいかな?
『エフディスク』 fdisk.co.kr ってなんなのか調べてみた
はい、どう見ても、違法にストレージデータをダウンロードできるサイトですね。
ゲームとか映画を安い値段でばらまいてるような…。
(주)에프앤커머스
F&Commerce Corp
SimDiskとやらもやっぱ同じようなサイト
もう一つ、 candifile.co.kr って所もデータ共有してるような感じ。
アップロードしてるデータ元は同じだけど、少しずつ中身の振り分け方を変えて、あちこち加入させて、年会費を数倍おいしく…みたいな感じですね(笑) ・ω・
|
2013年6月25日、韓国政府は、同国の複数の政府関連およびニュース系 Webサイトが改ざんやサーバーダウンなどの被害に遭った状況を受けて、同国のサイバーセキュリティ警報を 5段階中 1から 3 に引き上げました。同日に発生したセキュリティインシデントに関連する攻撃のうち1つは、正規ソフトウェアのインストーラファイル ”SimDisk.exe” の改変が関与しています。「SimDisk」は、ファイル共有およびオンラインストレージを提供する正規Webサイトです。改変されたインストーラは、こ の「SimDisk」用ソフトウェアの自動更新機能を悪用します。トレンドマイクロではこの不正な”SimDisk.exe” をすでに入手しており、解析調査を行っております。 |
この表現が引っ掛かるんだけどさ、要するに、ファイル共有やオンラインストレージを韓国内で合法的に 提供するアングラなサイトで配布してるダウンローダーが書き換えられて利用してるユーザーが皆感染したって事か ・ω・
感覚的には、Winnyアップデートしたら、配布元が攻撃受けて、ウィルスになってて、感染した感じですかね?
なんで、わざわざ『正規ソフトウェア』なんて表現を使うのか・・・と思ってアメリカのサイトを見てみたら、確かにそう書いてあった
Compromised Auto-Update Mechanism Affects South Korean Users | Security Intelligence Blog | Trend Micro
| One of the several attacks related to the June 25 security incident involved the compromise of the auto-update mechanism related to the legitimate installer file SimDisk.exe, which we were able to get a sample of. SimDisk is a file-sharing and storage service. |
おまけ:
そして、このソフトインストールした後、アンインストールしても、 NATService というP2P部分がサービスとして、PCに残存するので 手動で %PROGRAMFILES%\NAT Service\unins000.exe を実行しなくてはいけないようだ・ω・;
流石韓国産やで
Translate
Comments