パスワードを盗むウイルスを利用するクラッカーの情報が判明 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

パスワードを盗むウイルスを利用するクラッカーの情報が判明

製品・サービス・業界動向 業界動向

 パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
 このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし、PCが起動されるたびに、プログラムも起動される。このプログラムは、外部のクラッカーにパスワード情報を送信する。
 今回、このウイルスを使用しているクラッカーのメールアドレスが判明した。このクラッカーの保有しているメールアドレスは以下の2つ。

mail@btamail.net.cng-op@163.com

 攻撃手法は、まずsscomのIPアドレスをのっとり、そのIPアドレスから当該ウイルス「TROJ_GOP.196.DR」の送付を行なう。なお、今回情報提供者から送られてきた情報に含まれていたヘッダ(2通分)を見ると、sscomのIPだけをのっとっているのではなく、複数のIPをのっとり各々から攻撃を仕掛けているもよう。(1月8日分は韓国KRNICの管理するIP)その後、TROJ_GOP.196.DRによって送られてくるパスワード情報を収集する。さらに、収集した情報を利用して、様々な攻撃を仕掛けてくると思われる。

 今回のウイルスおよびウイルスを使用した攻撃は、破壊活動を行わないため、感染者が感染している事実に気付かない可能性がある。そのため、継続的にパスワード情報を盗まれる危険性がある。

以下に、情報提供者より送られてきたヘッダを示す(適宜伏字の部分有り)

1月4日
───────────────────────────────────
X-ALMail-Status: AACAQILSODyNHwUAAAAAAAAAAAAA
Return-Path: <mail@btamail.net.cn>
Delivered-To: ***@***.**.jp
Received: (qmail 29421 invoked from network); 4 Jan 2002 17:53:00 +0900
Received: from shield.***.**.jp (**.***.**.***)
by mail.***.**.jp with SMTP; 4 Jan 2002 17:53:00 +0900
Received: (qmail 18493 invoked by uid 504); 4 Jan 2002 08:51:11 -0000
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 4 Jan 2002 08:51:09 -0000
Received: from sscom([***.***.***.***]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm533c358c6e; Fri, 4 Jan 2002 08:52:26 -0000
From: ************ <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?vMe1w8rVusPO0rXE1dXGrNG9o6E=?=
Date: Fri, 04 Jan 2002 17:51:52 東京 (標準時) 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
X-Virus-Scanned: by AMaViS
───────────────────────────────────

1月8日
───────────────────────────────────
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 8 Jan 2002 11:11:42 -0000
Received: from kiti([211.41.9.1]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm5a3c3b0007; Tue, 8 Jan 2002 11:14:01 -0000
From: <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?eHVl?=
Date: Tue, 08 Jan 2002 20:02:31 エ・ムケホアケ ヌ・チリステ 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
───────────────────────────────────

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

    世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  4. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  5. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  6. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×