偽ツール系のウイルスはアフィリエイトだった･･･('Α`)

サイト内関連ページ
メインPCがウイルスに感染
　1･･･こんな風になりました
　2･･･感染直後からのPCの状況を時系列で紹介
　3･･･TROJ FAKEAV系に感染した場合の対処方法
　4･･･(追記)しばらく経ってから発見したチェックポイントなど
　5･･･【反省会】ウイルス感染を未然に防ぐ方法の考察
　6･･･偽ツール系のウイルスはアフィリエイトだった･･･('Α`) (このページ)
　7･･･ウイルスの仕組みを理解してみる(やや雑文)
　8･･･重要: Windowsがウイルス感染した後の手動＆目視チェック項目まとめ

この話題で6回目の更新。

この数年で多くの感染例が報告されている「偽のセキュリティソフト」系のウイルスは、実は胴元となるウイルスベンダーが存在し、アフィリエイトを行っているらしいです。。。割と知られている情報っぽいけども、自分のPCがウイルスに感染した事で初めて知りました･･･。

※アフィリエイトとは･･･
胴元の管理する商品を、末端の参加者が広告･販売し、成功報酬を得ることが出来るインターネット上のビジネス。

ブラックマーケットではウイルスとその改造キットが売買され、末端のクラッカーは報酬を得るために、お互い情報交換し日々ウイルスの改良に勤しんでいる感じ。

次々と新種が登場するのに、何故かほぼ同タイプのウイルス。でもスキンだけは多種多様･･･すごく違和感があったけどようやく理由が分かった気がします。
こりゃ油断してたら簡単に感染しちゃいますな･･･。注意です＞_＜、

この件に言及しているサイト

自分が感染したウイルスの情報を読み漁っているうちに辿り着いたのが、以下のURL。

参考URL

上記URL、それぞれがブラックマーケットの存在や、開発キットの存在などを言及しています。

その他

自作ウイルスの検出は困難――「遠隔操作ウイルス」が課題を浮き彫りに：ニュース：PC Online

(話は逸れるけど)今話題の遠隔操作ウイルスについて。
全くの新種だと、こんな記事が出るくらい市販のウイルス対策ソフトでも太刀打ちできないのか･･･。そして、ここでも「ツールで作成したウイルス」など、それっぽい事が書いてある。。。

以下、紹介URL内の一部を引用

ウイルス新時代に備える - ［現状編］攻撃者の戦略が変わった：ITpro

　

　コンピューターウイルス（悪質なプログラム。以下、ウイルス）の被害が後を絶たない。新しいウイルスが次々と作られているのは、攻撃者が金もうけのツールとして使っているためだ。

－－－中略－－－

　ウイルスで乗っ取ったパソコンを、別の攻撃者に貸し出すビジネスもある。ウイルス感染パソコンを、一定時間利用する権利を販売する。利用権を購入した攻撃者は、迷惑メールの送信や、ほかのコンピューターへの攻撃などに悪用する。

ゾンビ化したPCを貸し出すビジネスもある模様。
ってか、これは数年前にTV特集でも観た。

Trojan.FakeAV テクニカルノート | シマンテック日本

　

アフィリエイトに関する情報

1 つのベンダーがミスリーディングアプリケーション全体の約 80 %に関与していると推測されています。このベンダーはアフィリエイトを採用し、そのアフィリエイトはミスリーディングアプリケーションの拡散と配布作業を下請けに出します。このアプリケーションは、しばしば再構築やブランドの再生(クローン作成)が行われます。それらは、外観は異なりますが、すべて同じように機能します。たとえば、コンピュータの「スキャン」を実行し、有害なオブジェクトを報告し、偽って報告した脅威を駆除するためと称してプログラムの正規バージョンを購入するようにユーザーに促します。

大規模な元締めの存在も確認できる模様。

POISONIVY | トレンドマイクロ：セキュリティデータベース

　

「ZEUS」や「SPYEYE」と同様、POISONIVYは、これらのツールを販売するアンダーグラウンドのフォーラムから購入やダウンロードが可能な、ツールキットやビルダーを含んでいます。このビルダーは、購入者のニーズに応じてカスタマイズすることが可能です。

感染用ツールの売買も行われている模様。

不審プロセス停止ツール Rkill 【偽セキュリティソフト駆除】 - Let's HSP!

　

■目的はクレジットカードの情報
　実際のところ、ウイルス感染というはまったくのデタラメで、あせって購入画面で入力してしまったクレジットカードの情報や個人情報がそのまんま攻撃者に奪取されてしまう寸法です。この手の情報は、海外のブラックマーケットで転売できるため、実際に情報を送信してしまうと金銭的な実害が発生する可能性があります。

　－－－中略－－－

■偽セキュリティソフトを感染させてお小遣い稼ぎ!?
　偽セキュリティソフトは、パソコンに感染させることに成功すると金銭を獲得できる「アフィリエイト活動」なんてのが海外のブラックマーケットで行われてるそうで、とんでもない量の種類や検体が毎日のように投入されてます。はっきり言って、有償製品とか無料版とか関係なく正規のセキュリティソフト・ウイルス対策ソフトの対応は追いついていない状況です。

　アフィリエイト活動を取り仕切ってる人、参加してる人々からすれば、正規のセキュリティソフト・ウイルス対策ソフトが対応してしまってはお金儲けに支障をきたすので、対応が追いつけないよう量産体制を行ってます。

たとえクレジット情報の入手は未遂に終わっても、感染だけでも報酬があるらしい。
「感染だけでも報酬」って部分に衝撃を受けた。

あああ･･･偽ツール系のウイルスの作成･拡散には元締めがいて、末端が報酬を得る為にアフィリエイトしてたんや･･･そして「ウイルスをより感染しやすくさせるため」の偽装ツールの売買なども行われていたんや･･･。

GPLとして配布されるウイルスも･･･

引用ばかりじゃ面白くないので、手持ちの情報の公開(過去にも紹介したことあるけど)

今年8～9月にぼくんちのTVがハッキングされた際に仕込まれたウイルスには、以下の様なクレジットが表記されていました。

▲ブラックハット･アカデミーという機関からGPLライセンスで配布されたウイルス。
アンダーグラウンドではこういうプログラムのソースも公開され、最新のハッキング情報が色々と飛び交っているんでしょうなぁ('Α`)そして多くの人間が参加しているんでしょうなあ('Α`)

ちなみにウチのサイトが感染してたこのウイルス、無害なものでした。
後日解説ページを設ける予定ですが、無害だった理由がとんでもないモノでした･･･

その他: ウイルス対策ソフトで検出できるウイルスって･･･

今話題の「遠隔操作ウイルス」のニュース読んでいると、色々なことが分かりますねえ。

自作ウイルスの検出は困難――「遠隔操作ウイルス」が課題を浮き彫りに：ニュース：PC Online

　過去のウイルスを改変した亜種ウイルスや、ツールで作成したウイルスには何らかの特徴があるのに対して、自作のウイルスではそういった特徴がない。今回の遠隔操作ウイルスは、作者がほぼゼロから作成した手製ウイルスだったため、感染に気付かれなかった可能性が高い。

　もちろん、ウイルス対策ソフトメーカーが該当のウイルスを入手すれば検出できるようになるが、それまでは、検出できない可能性がある。ウイルス作者は、市販のウイルス対策ソフトを使って、検出できないことを事前に確認することもできる。

ウイルス対策ソフトって、「ツールで作成されたもの」か「今までの亜種」ってのを前提にパターン検出してる。
ある程度は知っていたけれど、全くの新種だとこんな記事が出るくらい市販のウイルス対策ソフトは太刀打ちできないのですねえ。

あとがき

・JAVAやFlashの脆弱性がどんどん発見される理由
・性質や攻撃パターンが同じでありながら、凄い速度で進化するウイルス
・気味が悪いほど多様な亜種が存在する理由
・GPLで公開されるウイルスの存在、ウイルス改造キットの存在など･･･
すべて合点が行きました･･･。

敵は人海戦術で攻撃して来ます。こりゃ油断してたら簡単に感染しちゃいますな･･･。

自分のPCがウイルスに感染した事で、関連のウイルス情報を色々調べて行くうちに、初めてこの情報を知りました。
知らないうちに怖い時代になっちゃっています。。。