NEWS

ニュース | 最新のニュースをお届けします

改造B-CASカードの便乗マルウェアに注意

この記事をシェア

この記事は、マルウェアやセキュリティに関して、
キヤノンITソリューションズ株式会社から発信する情報です。


不正にB-CASカードを改造するソフトウェアを装ったマルウェアの感染に注意


2015年6月16日に実施されたB-CASカード(BSおよびCSの有料放送のための受信者用カード)システムの改編により、不正に改造されたB-CASカードが無効化されました。

これに便乗し「B-CAS改造コード」「CardTool_wowow.exe」「wowow_free.exe」「sc4.exe」などの名称を騙ったマルウェアが報告されています。

アダルトサイト詐欺や、違法コピーソフトのダウンロードなど、ユーザー側の行動に法的な問題性がある場合、感染ユーザーからの事態の共有や報告、対応が発見しにくいことがあります。社内や組織内のネットワーク経由でも、このような違法ツール経由での感染事例もあるので、マルウェアの検査だけでなく、社内でのコンプライアンス意識・セキュリティ意識を高めることがリスク回避に役立ちます。
 

報告されたマルウェアの一例

Win32/TrojanDownloader.Wauchos.AF

「Wauchos.AF」はトロイの木馬型のマルウェアで、インターネットから別のマルウェアをダウンロードしようとします。また、リモートからコントロールが可能です。
 

侵入(インストレーション)について

実行時には自身を次の場所へコピーします。
%allusersprofile%\ms%variable1%.exe

また、システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"%variable2%" = "%allusersprofile%\ms%variable1%.exe"

ほかに、次のレジストリーエントリーを登録する場合があります。
[HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run]
"%variable2%" = "%allusersprofile%\ms%variable1%.exe"
(%variable1-2%には可変の文字列が入ります)

次の2つのプロセスを起動します。この実行中のプロセスに自身のコードを挿入して新たなスレッドを作成、実行します。
%windir%\system32\msiexec.exe
%windir%\SysWOW64\msiexec.exe

そして、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"TaskbarNoNotification" = 0
"HideSCAHealth" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"TaskbarNoNotification" = 0
"HideSCAHealth" = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

さらに、次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。
explorer.exe

以上のインストール終了後、元の実行ファイルを削除します。実行中のプロセスの名前に次の文字列のいずれかが含まれている場合は、直ちに自身を終了します。
netmon.exe
procmon.exe
VMUSrvc.exe
wireshark.exe
 

情報の取得

「Wauchos.AF」は、個人情報を盗み出します。次の情報を収集し、リモートのコンピューターに送信しようとします。
OSのバージョン
ボリュームシリアル番号
ローカルネットワークのルーターのIPアドレス
 

その他の情報

このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。そのために5つのURLを保持しています。通信にはHTTPプロトコルが使用されます。こうしたリモートの命令により以下を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
自身をアンインストールする
収集した情報を送信する

また、次のサービスを無効にします。
wscsvc
SharedAccess
MpsSvc
WinDefend
wuauserv
ほかに、次のWindows APIをフックして、入力データやメッセージを横取りします。
NtMapViewOfSection (ntdll.dll)
GetAddrInfoW (ws2_32.dll)
 

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!