朝鮮中央通信からダウンロードできるマルウェア 偽Flash Playerインストーラ
北朝鮮の報道機関 朝鮮中央通信(www.kcna[.]kp)のサイト内に無料ブラウザアドオン Adobe Flash Player のインストーラファイルに偽装したマルウェアが仕掛けられてるんだとか。  ● 北朝鮮の国営通信社「朝鮮中央通信」が公式サイトにマルウェアを仕込んでいたことが判明 (GIGAZINE)
http://gigazine.net/news/20150114-north-korea-official-malware/
● North Korea's State News Agency Website Serving Up Malware
http://infosecotter.com/
サーバーはSTAR-KP(Star合弁会社)なる北朝鮮内で稼働してるそうで。
http://www.aguse.jp/?url=www.kcna.kp
● 中国・アジアセキュリティ動向 北朝鮮が故金日成主席誕生日にあわせて2つのサイトを公開 (ScanNetSecurity)
http://scan.netsecurity.ne.jp/article/2011/04/21/26633.html
ゲットできるファイルはZIP形式の圧縮ファイルで、解凍すると中身は2つのWindows向け実行ファイル(拡張子 *.exe)となってます。
Flash Playerの偽インストーラ… タイムスタンプが古すぎな2012年
FlashPlayer10.zip
↓ 解凍
Install Flash Player 10 ActiveX.exe 8948f967b61fecf1017f620f51ab737d
Install Flash Player 10 Plugin.exe 2f7b96b196a1ebd7b4ab4a6e131aac58
いちおう起動してみたら、不正なファイルが裏でドバっと吐き出されました。
C:\Users\[ユーザー名]\AppData\Local\Temp\wtmps.exe
75c1467042b38332d1ea0298f29fb592
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Caches\Files\usd.dll
f1c9f4a1f92588aeb82be5d2d4c2c730
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Common\Shared\dis.dll
1fcc5b3ed6bc76d70cfa49d051e0dff6
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Defender\launch.exe
daac1781c9d22f5743ade0cb41feaebf
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Identities\[ユーザー名]\arc.dll
2d9df706d1857434fcaa014df70d1c66
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Messenger\Extension\WdExt.exe
bbac045e89eb9280ef6806f5db792fa8
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Repairs\sha.dll
6a9461f260ebb2556b8ae1d0ba93858a
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Shared\Modules\fil.dll
d0c9ada173da923efabb53d5a9b28d54
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Addins\att.dll
fffa05401511ad2a89283c52d0c86472
正体はスパイするバックドアみたい。
● W32.Faedevour テクニカルノート | シマンテック 日本
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2013-022211-4844-99&tabid=2
|