どういうウイルスか?研究のため、あるいは備忘録としてブログ記事にしておきます。ネット上から怪しげなファイルはダウンロードしない、ということが大事です。追記 2010/05/26現金をだまし取った犯人が逮捕されました(2010/05/26)。

特徴は、

  • 暴露ウイルス「kenzero(kenzo)」による
  • WinnyやShare、PerfectDarkなどのネットワーク上で流通
  • 5500人以上の個人情報が漏えいした
  • 違法アップロードされたアダルトゲームやウイルス対策ソフト、ホームページ制作ソフトなどのアプリケーションやOSのsetup.exeに偽装
  • スクリーンショットやコンピューター情報(使用環境、Internet Explorerのお気に入り、ファイル履歴など)を取得する
  • 「国際著作権機構(ICO)」を名乗る悪質なサイトに送信
  • 個人情報を削除してもらったと思われる人数は661人

5500人以上が感染した「Kenzero」、振り込め詐欺の40倍の成功率 -INTERNET Watch

 ネットエージェントは1日、ファイル共有ソフトで流通する暴露ウイルス「kenzero(kenzo)」による被害の調査結果を公表した。Kenzeroは2009年11月ごろからWinnyやShare、PerfectDarkなどのネットワーク上で流通を開始。2010年3月には亜種が確認され、3月18日から24日までの短期間で同ウイルスに感染した5500人以上の個人情報が漏えいしたという。

 Kenzeroは、違法アップロードされたアダルトゲームやウイルス対策ソフト、ホームページ制作ソフトなどのアプリケーションやOSのsetup.exeに偽装しているのが特徴。これをユーザーが実行すると、スクリーンショットやコンピューター情報(使用環境、Internet Explorerのお気に入り、ファイル履歴など)を取得する。

 また、「オンラインユーザー登録」などと称して、個人情報やプライバシー情報をユーザー自らに入力させる画面を表示。具体的には、氏名や性別、年齢、メールアドレス、ゲームで使用する主人公・恋人・友達の名前などを入力させる。これらの情報は、「国際著作権機構(ICO)」を名乗る悪質なサイトに送信されていた。

 「国際著作権機構(ICO)」に送信された情報は同サイトで公開されるとともに、ユーザーに対しては「株式会社ロマンシング」名義で著作権侵害の旨を記したメッセージを表示する。さらに、掲載された情報を削除するためには、「和解金」として「著作権使用料相当額」を「株式会社ロマンシング」の指定口座に支払うように誘導されるという。

 「国際著作権機構(ICO)」のサイトはすでに閉鎖されている。ネットエージェントによれば、サイト閉鎖までの間、ウイルス感染者 5510人のうち、掲載された個人情報を削除してもらうために、株式会社ロマンシングに対して「和解金」を支払うなどして、個人情報を削除してもらったと思われる人数は661人だったという。

 また、1件あたりの「著作権使用料相当額」として請求される金額5800円で試算すると、今回の被害総額は最大383万3800円に上ると説明。約8.3人に1人(約12%)が支払いに応じたと仮定すると、「非常に高い確率」であり、振り込め詐欺でだまされる確率とされている1000人に 3人(0.3%)と比べると40倍となり、極めて高い数値であるとしている。

 なお、ネットエージェントでは、今回公表したウイルスの概要はあくまで一例だと説明。今後も亜種が増え続けると予想されるとして、注意を促している。

アダルトゲームなど装う暴露ウイルス、「Kenzo」の被害拡大か -INTERNET Watch

 「Share」などのファイル共有ソフトを通じて、アダルトゲームなどを装った暴露ウイルスに感染し、デスクトップのスクリーンショットや個人情報が外部の公開される被害が出ているとして、Kaspersky Labが注意喚起している。同社は2009年11月27日ごろにウイルスを確認したが、現在も感染報告が寄せられているという。さらに最近になってインターネット上の掲示板やブログでも、同様の被害をもたらすウイルスが話題になっている。

 Kaspersky Labによると、このウイルスはアダルトゲーム(ISOファイル)に偽装し、Shareのネットワークに流通。その中には、「autorun.inf」「Setup.exe」「config.xml」という3つのファイルと、「product」という1つのフォルダーがあり、ウイルスプログラムの本体である「Setup.exe」を実行することで暴露ウイルスに感染する。

 また、「autorun.inf」は「Setup.exe」を自動実行するように設定されているため、メディアへのコピー、または仮想ドライブなどにマウントして開くと同時に、「Setup.exe」が実行される。なお、アダルトゲームについては複数のゲームタイトルを使用し、そのファイルサイズも同一ではないという。

 ウイルスの被害としては、以下の4つの現象が見られるという。

1.デスクトップのスクリーンショットが取得され、「C:」ドライブに「< ランダムな文字列>」のフォルダーが作成される。さらにそのフォルダーに「< ランダムな文字列>.bmp」と「< ランダムな文字列>.jpg」という2つのファイルが作成される。
2.ユーザー情報の入力画面が表示され、ここでユーザーが入力した「住所」「氏名」「電話番号」などの個人情報が盗まれる。
3.1)と2)で収集したデータが、第三者が閲覧可能な特定のサーバーにアップロードされる。
4.公開サーバーに対して削除依頼メールなどを送信すると、ユーザーには和解とデータの削除というメールが届く。このメールの内容は、和解とデータの削除のために1500円~5800円(金額には幅がある)を要求する。

 Kaspersky Labによれば、個人情報がアップロードされるサーバーのドメイン名が当初「p3p」だったことから、このウイルスは「P3P」ウイルス、またはウイルス作成者の名前から「Kenzo(Kenzero)」という名称が付けられているという。ただし、個人情報をアップロードするサーバーは、p3pドメイン以外にも存在するとしている。

 Kaspersky Labは3月9日付のメールマガジンでも「Kenzo」ウイルスについて注意を呼びかけていた。同社によれば、「Kenzo」ウイルスはアダルトゲームのほかにも、不正コピーされたビジネスソフトなど、ファイル共有ソフトで配布されているさまざまなソフトウェアに偽装されているという。

 ユーザーに対しては、不正コピーされたファイルを取得する目的で「Share」や「Winny」などのファイル共有ソフトを使用しないよう呼びかけるとともに、正規ソフトウェアについてもダウンロードしてインストールする際には、提供元を必ず確認することが必要だとしている。

追記 2010/05/26
<詐欺>ゲームソフトにウイルス埋め込み 警視庁が初摘発(毎日新聞) – Yahoo!ニュース

<詐欺>ゲームソフトにウイルス埋め込み 警視庁が初摘発

5月26日11時42分配信 毎日新聞
 ファイル共有ソフト「Share(シェア)」に個人情報を流出させるコンピューターウイルスを仕掛け、被害者に現金を支払えば情報を削除すると持ち掛けて現金をだまし取ったとして、警視庁ハイテク犯罪対策総合センターは26日、インターネット広告会社「ロマンシング」(埼玉県志木市)社長の男(20)=事件当時19歳=と東京都北区、会社員、岡顕三容疑者(27)を詐欺容疑で逮捕したと発表した。ウイルスを使った詐欺事件の摘発は全国初。

 警視庁によると、社長は容疑を認め「会社を大きくするため金がほしかった」と供述。岡容疑者はウイルス作成を認めているが、社長との共謀についてはあいまいな供述をしているという。ウイルス作成者の摘発は、ファイル共有ソフト「Winny(ウィニー)」でウイルスを不特定多数に配布したとして、京都府警が08年に大学院生を著作権法違反容疑で逮捕して以来2例目。

 逮捕容疑は、09年11月26~30日、アダルトゲームソフトを装ったファイルに「kenzero」と呼ばれるウイルスを埋め込み、シェアで公開。ソフトをダウンロードした都内の男性会社員(28)ら4人から計約2万3000円をだまし取ったとしている。

 ソフトを使用しようとした利用者がファイルをクリックすると、氏名や住所、メールアドレスなどの個人情報を入力させる画面が現れ、登録すると情報がネット掲示板に勝手に公開されるように仕組んでいた。利用者が情報削除を要請すると、ロ社は「ダウンロードは著作権法違反にあたる。和解金として5800円が必要」とメールを送り付けて口座を指定し、現金を振り込ませていた。

 ウイルス作成は社長が岡容疑者に依頼し、報酬として現金を送金していた。社長が契約していたレンタルサーバーには1456件の個人情報が保管されており、2人が他の利用者からも現金をだまし取った疑いがあるとみて追及する。【町田徳丈】

 ◇後ろめたさ悪用 新たな振り込め

 違法ファイルをダウンロードした後ろめたさにつけ込んで現金をだまし取る今回の手口は、従来のアダルトサイト利用料名目の架空請求詐欺を発展させた新たな振り込め詐欺と位置づけられる。

 「kenzero」ウイルスは情報を勝手に公開する「暴露系ウイルス」。インターネットセキュリティー会社「ネットエージェント」によると、「kenzero」の亜種も確認され、今年3月には5510人の個人情報がネット上に流出する被害があった。このうち661人が流出情報削除と引き換えに、最大で計約380万円を支払わされた可能性があるという。

 事件の背景には、映画や音楽、ゲームなど本来有料で購入すべきソフトがファイル共有ソフトに氾濫(はんらん)し、違法ダウンロードを可能にしている現状がある。今年1月に改正著作権法が施行され、罰則はないものの、違法にアップロード(共有)されたファイルをダウンロードする行為が違法となったことも、被害者の後ろめたさを強めたとみられる。

 捜査関係者は「従来の事件はウイルス作成者の自己顕示が目的だったが、今回は詐欺の道具に利用したとみられ、この傾向は強まるのではないか」と指摘している。



トラックバックURL:
https://serene.sakura.ne.jp/blog/2010/04/02/0152/493.php/trackback

Comments are closed.

blank