往年のMBRマルウェア

先日、オープンソースのオーディオエディタ、Audacityをインストールした。

著者: F-Secure Business Security Insider
日付: 2016年09月16日
読了時間: 0 分

ショーン・サリバン

先日、オープンソースのオーディオエディタ、Audacityをインストールした。

audacity-ransomware-hacking-healthcare

ダウンロードしようと最新バージョンを確認していたところ、興味深いセキュリティ通知が目に留まった。全文に目を通す前には、きっと、またどこかの暗号化ランサムウェアグループが、アプリケーションのインストーラを乗っ取ってトロイの木馬を埋め込んだのだろうと思っていた。

ところが、そうではなかった。

Audacityのダウンロードパートナーサイトが、乗っ取られたアカウントを通じて侵入され、AudacityのWindowsインストーラが、「純粋に破壊するだけの」マルウェアである、MBRを上書きするトロイの木馬が埋め込まれたものに差し替えられていたのだ。営利目的のマルウェアが主流の今の時代からすると、何か懐かしさのようなものさえ感じてしまう。

このトロイの木馬が埋め込まれたインストーラをインストールして再起動すると、次のようなメッセージが表示される。

it-is-a-sad-thing-your-adventures-have-ended-here

また、Classic Shellでも、同様のトロイの木馬の埋め込みがあったようだ。Classic Shellフォーラムに、次のようなファイル詳細についての投稿がある。

classic-shell-forum

画像の出典元: Classic Shell

次の動画は、@danooct1による、このマルウェアのデモ動画であり、上書きされたMBRを修復する方法も示されている。

トロイの木馬が埋め込まれたClassic Shell/Audacity

素晴らしい動画である。視聴回数を見たところ、マルウェアの解説動画としては、なかなかの視聴者数のようだ。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中