パスワードを盗むウイルスを利用するクラッカーの情報が判明

　パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
　このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし

製品・サービス・業界動向業界動向

2002年1月9日（水） 12時00分

　パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
　このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし、PCが起動されるたびに、プログラムも起動される。このプログラムは、外部のクラッカーにパスワード情報を送信する。
　今回、このウイルスを使用しているクラッカーのメールアドレスが判明した。このクラッカーの保有しているメールアドレスは以下の2つ。

mail@btamail.net.cn ・ g-op@163.com

　攻撃手法は、まずsscomのIPアドレスをのっとり、そのIPアドレスから当該ウイルス「TROJ_GOP.196.DR」の送付を行なう。なお、今回情報提供者から送られてきた情報に含まれていたヘッダ（2通分）を見ると、sscomのIPだけをのっとっているのではなく、複数のIPをのっとり各々から攻撃を仕掛けているもよう。（1月8日分は韓国KRNICの管理するIP）その後、TROJ_GOP.196.DRによって送られてくるパスワード情報を収集する。さらに、収集した情報を利用して、様々な攻撃を仕掛けてくると思われる。

　今回のウイルスおよびウイルスを使用した攻撃は、破壊活動を行わないため、感染者が感染している事実に気付かない可能性がある。そのため、継続的にパスワード情報を盗まれる危険性がある。

以下に、情報提供者より送られてきたヘッダを示す（適宜伏字の部分有り）

1月4日
───────────────────────────────────
X-ALMail-Status: AACAQILSODyNHwUAAAAAAAAAAAAA
Return-Path: <mail@btamail.net.cn>
Delivered-To: ***@***.**.jp
Received: (qmail 29421 invoked from network); 4 Jan 2002 17:53:00 +0900
Received: from shield.***.**.jp (**.***.**.***)
by mail.***.**.jp with SMTP; 4 Jan 2002 17:53:00 +0900
Received: (qmail 18493 invoked by uid 504); 4 Jan 2002 08:51:11 -0000
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 4 Jan 2002 08:51:09 -0000
Received: from sscom([***.***.***.***]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm533c358c6e; Fri, 4 Jan 2002 08:52:26 -0000
From: ************ <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?vMe1w8rVusPO0rXE1dXGrNG9o6E=?=
Date: Fri, 04 Jan 2002 17:51:52 東京 (標準時) 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
X-Virus-Scanned: by AMaViS
───────────────────────────────────

1月8日
───────────────────────────────────
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 8 Jan 2002 11:11:42 -0000
Received: from kiti([211.41.9.1]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm5a3c3b0007; Tue, 8 Jan 2002 11:14:01 -0000
From: <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?eHVl?=
Date: Tue, 08 Jan 2002 20:02:31 エ・ムケホアケヌ・チリステ 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
───────────────────────────────────

（詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》