“遠隔操作ウイルス”、その表の顔の1つは「痴漢君（Chikan.exe）」

http://internet.watch.impress.co.jp/docs/news/20121109_571902.html

　いわゆる“遠隔操作ウイルス”として10月に世間を騒がせたマルウェアに関しては、「iesys.exe」という名前の実行ファイルがインストールされることは新聞はじめ各種メディアの報道でも広く知られている通りだ。
一方で、無料のユーティリティ系ソフトを装ってダウンロード配布されていたとされる際のファイル名や、いわば“表の顔”であるソフトの名称に関しては、ニュース報道ではあまりはっきりとしたことは伝えてないようだ。

　そこで今回、“遠隔操作ウイルス”の検体の1つを解析した株式会社ラックの中津留勇氏（同社サイバーセキュリティ研究所）に、遠隔操作ウイルスの挙動について詳細を聞いた。

※本記事は、10月28日に開催された私的勉強会（10月29日付関連記事を参照）で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです。

（>>2へ続く）

以下嫌いな球団

大根

先に言っとく
ゲハでやれ

日ハム

（>>1の続き）

テキストエディターソフトとして公開されていた「chikan.zip」の挙動

　“遠隔操作ウイルス”はいくつかの無料ソフトを装って配布されていた模様だが、中津留氏が解析したのは、
文字列の置換を目的としたテキストエディターソフトを装い、「chikan.zip」というZIPファイルに固められてDropboxに蔵置されていたとみられる検体だ。
インターネット掲示板上に記載されたリンクによって、被害者がこのZIPファイルをダウンロードさせるよう誘導されていた。

　このZIPファイルを解凍すると、解凍先のフォルダーに「Chikan.exe」と「data」という2つのファイルが現れる。
ダウンロードした被害者は「Chikan.exe」をテキストエディターソフトと思って実行するわけだが、実は“遠隔操作ウイルス”のドロッパーであり、
「iesys.exe」と「cfg.dat」という2つのファイルをアプリケーションデータフォルダーなど（Windowsのバージョンによって異なる）にインストールするとともに、Windows起動時に「iesys.exe」が自動実行されるようにレジストリエントリを書き加える。

　同時に、解凍先のフォルダーには「del.bat」というファイルを生成。
これがドロッパーの「Chikan.exe」を削除する一方で、「data」のファイル名を「Chikan.exe」に変更。
ドロッパーとは別のテキストエディターソフトとしての「Chikan.exe」が現れる。

そろそろうぜえし捕まれよ、モペキチキボンヌ

まさかのゲハード

そういや最近モペキチ見ないな
あいつの仕業じゃね？

十分テクニカル。
素人じゃないだろこれは……

”置換”のちかんね・・

>>9
ガチで怪しいな……

よくできたトリックだな

なんか本当にモペキチの気がしてきた

（>>6の続き）

http://internet.watch.impress.co.jp/img/iw/docs/571/902/chikankun1_s.jpg

「Chikan.exe」の挙動。図にある「Chikan.exe」は、ドロッパーのほうの「Chikan.exe」。
「iesys.exe」などを投下した後にこれは削除される。一方で、「data」が「Chikan.exe」にリネームされ、テストエディターとしての“本物”の「Chikan.exe」が残る。
図右側にあるサーバーは、いちばん上が「chikan.zip」を蔵置していたDropbox、中が「iesys.exe」のC&Cサーバーにあたる「したらば掲示板」、
下がスクリーンショットのアップロード先となる無料ホスティングサーバーを示す（中津留氏のプレゼンテーション資料より）

　以降、「Chikan.exe」は、「置換君」の語呂合わせと思われる「痴漢君」という名称のソフトとして起動し、
テキストエディターソフトとして機能するため、ユーザーは「ダウンロードしたソフトの機能の乏しさを実感するかもしれないが、感染したことに気付かない」（中津留氏）。
さらに、攻撃者がマルウェア本体の「iesys.exe」などのファイルを削除して痕跡を消した後も、「Chikan.exe」はそのまま残り、テキストエディターソフトとして利用できる。

http://internet.watch.impress.co.jp/img/iw/docs/571/902/chikankun2_s.jpg
テキストエディターソフト「置換君」（中津留氏のプレゼンテーション資料より）

　なお、中津留氏はダウンロード配布されていた「chikan.zip」そのものを入手できていたわけではないという。
調査を開始しだ段階ですでにDropbox上からZIPファイルは削除されており、実際に入手したのは解凍後の「Chikan.exe」と「data」という2つのファイルのセットだ。
「chikan.zip」を入手したという人がネット掲示板で公開していた「Chikan.exe」と「data」のハッシュ値と、
中津留氏が入手した「Chikan.exe」と「data」のハッシュ値が同じだったことから、それらの検体が「chikan.zip」として配布されていたものと判断した。

（全文は>>1で）

>>4
遠隔操作ウイルスにChikanって名前を使ってることも
その遠隔操作ウイルスを使って犯人が任天堂に対する犯罪予告の書き込みをしたことも
ゲハとは何の関係も無いだろ
お前は何をゲハでやれと言ってるんだ？

＞株式会社ラックの中津留勇氏

このラックとかいう会社って出鱈目言ってたゴミだろ
なんの参考にもならん

モペキチが真犯人だったら笑い死ぬわ

ファイルリネームソフトと言ってただろ
置換のことだよ馬鹿

>>17
ばーか

確かにモペキチ見かけんな
模倣犯やりそうな奴だし捕まえてはいかがですか警察さん

こりゃ完全にモペキチだろｗｗ

たしかにモペキチすげえ怪しいw
定期的になんかやってたのに最近見ないし

モペキチ見ないと思ったらこんなことやっていてもおかしくないね

大変だ、俺のPCにnanpa.exeがある

あれ、このソフトなんか見覚えあるわ

＞Chikan
＞iesys
Chikaniesys（チカニシーズ）

そういや最近見ないな
こんなのあいつが喜んで飛びついて
あーでもないこーでもないと延々語ってそうだが

まあ２chで知識あるのは彼ぐらいなもんだし
PC押収と事情聴取ぐらいしてもいいんじゃないの？

>>27
なんだってー

モペキチなら冤罪で何かされても同情しないな

ゲハでやれ

【速報】HAP自動レベル上げツールが公開
http://hatsukari.2ch.net/test/read.cgi/news/1301806934/

35 名前：名無しさん＠涙目です。(チベット自治区)[sage] 投稿日：2011/04/03(日) 14:25:27.88 ID:P7p2+SS20
削除要請板に落書きするスクリプトなんじゃねーの？
これが公開されてから同じ内容の凸レスが増えてるわけだ

36 名前：名無しさん＠涙目です。(関西地方)[] 投稿日：2011/04/03(日) 14:26:41.07 ID:l0tNlpehP
>>35
そういうことだったのか

http://qb5.2ch.net/test/read.cgi/saku2ch/1300440343/17-
17 名前：あ[] 投稿日：2011/04/03(日) 14:02:09.71 HOST:115-124-132-173.ppp.bbiq.jp
東電死ねｗ

18 名前：あ[] 投稿日：2011/04/03(日) 14:02:33.01 HOST:p8042-ipngn100103okayamaima.okayama.ocn.ne.jp
東電死ねｗ

19 名前：あ[] 投稿日：2011/04/03(日) 14:02:46.78 HOST:p8042-ipngn100103okayamaima.okayama.ocn.ne.jp
東電死ねｗ

20 名前：あ[] 投稿日：2011/04/03(日) 14:04:39.93 HOST:p8042-ipngn100103okayamaima.okayama.ocn.ne.jp
東電死ねｗ

48 名前：名無しさん＠涙目です。(埼玉県)[sage] 投稿日：2011/04/03(日) 14:36:25.61 ID:R9WP4iQm0
なんだ、C#で作って公開しようとおもたのに咲子されたか
　　　　　↑　
　　　　ここ重要

>>15
ハッシュはここで解析してた時のやつだな、きっと。
http://engawa.2ch.net/test/read.cgi/poverty/1349915952/

>>17
出鱈目にしたのはマスゴミだよ。
ちゃんと解説してたのに肝心のところを端折ったそうだ。

保管してたケンモメンがレスしてたやつか
あれ便宜上名前変えて説明してるのかと思ってたけどそのままだったんだな

なかつるって初めて聞いた苗字だけど九州の方に多いのかな

置換じゃねーか捏造すんなボゲ

>>38
残念ですが記事をよくご覧下さい
そして>>27も