パスワードを盗むウイルスを利用するクラッカーの情報が判明 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

パスワードを盗むウイルスを利用するクラッカーの情報が判明

製品・サービス・業界動向 業界動向

 パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
 このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし、PCが起動されるたびに、プログラムも起動される。このプログラムは、外部のクラッカーにパスワード情報を送信する。
 今回、このウイルスを使用しているクラッカーのメールアドレスが判明した。このクラッカーの保有しているメールアドレスは以下の2つ。

mail@btamail.net.cng-op@163.com

 攻撃手法は、まずsscomのIPアドレスをのっとり、そのIPアドレスから当該ウイルス「TROJ_GOP.196.DR」の送付を行なう。なお、今回情報提供者から送られてきた情報に含まれていたヘッダ(2通分)を見ると、sscomのIPだけをのっとっているのではなく、複数のIPをのっとり各々から攻撃を仕掛けているもよう。(1月8日分は韓国KRNICの管理するIP)その後、TROJ_GOP.196.DRによって送られてくるパスワード情報を収集する。さらに、収集した情報を利用して、様々な攻撃を仕掛けてくると思われる。

 今回のウイルスおよびウイルスを使用した攻撃は、破壊活動を行わないため、感染者が感染している事実に気付かない可能性がある。そのため、継続的にパスワード情報を盗まれる危険性がある。

以下に、情報提供者より送られてきたヘッダを示す(適宜伏字の部分有り)

1月4日
───────────────────────────────────
X-ALMail-Status: AACAQILSODyNHwUAAAAAAAAAAAAA
Return-Path: <mail@btamail.net.cn>
Delivered-To: ***@***.**.jp
Received: (qmail 29421 invoked from network); 4 Jan 2002 17:53:00 +0900
Received: from shield.***.**.jp (**.***.**.***)
by mail.***.**.jp with SMTP; 4 Jan 2002 17:53:00 +0900
Received: (qmail 18493 invoked by uid 504); 4 Jan 2002 08:51:11 -0000
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 4 Jan 2002 08:51:09 -0000
Received: from sscom([***.***.***.***]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm533c358c6e; Fri, 4 Jan 2002 08:52:26 -0000
From: ************ <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?vMe1w8rVusPO0rXE1dXGrNG9o6E=?=
Date: Fri, 04 Jan 2002 17:51:52 東京 (標準時) 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
X-Virus-Scanned: by AMaViS
───────────────────────────────────

1月8日
───────────────────────────────────
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 8 Jan 2002 11:11:42 -0000
Received: from kiti([211.41.9.1]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm5a3c3b0007; Tue, 8 Jan 2002 11:14:01 -0000
From: <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?eHVl?=
Date: Tue, 08 Jan 2002 20:02:31 エ・ムケホアケ ヌ・チリステ 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
───────────────────────────────────

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. サイバー攻撃の観測レポートや注意喚起情報などをブログ形式で発信(IIJ)

  5. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  6. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  7. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  8. 人の動作に偽装するボットアクセスを検知(アカマイ)

  9. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  10. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×