パスワードを盗むウイルスを利用するクラッカーの情報が判明 | ScanNetSecurity
2024.05.07(火)

パスワードを盗むウイルスを利用するクラッカーの情報が判明

 パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
 このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし

製品・サービス・業界動向 業界動向
facebookLINE
 パスワード情報を取得するウイルス「TROJ_GOP.196.DR」を使用したクラッカーのメールアドレスおよび攻撃手法が判明したと、ユーザからの情報があった。
 このウイルスはトロイの木馬と呼ばれる不正プログラムであり、"KERNELSYS32.EXE"というプログラムをPCにセットし、PCが起動されるたびに、プログラムも起動される。このプログラムは、外部のクラッカーにパスワード情報を送信する。
 今回、このウイルスを使用しているクラッカーのメールアドレスが判明した。このクラッカーの保有しているメールアドレスは以下の2つ。

mail@btamail.net.cng-op@163.com

 攻撃手法は、まずsscomのIPアドレスをのっとり、そのIPアドレスから当該ウイルス「TROJ_GOP.196.DR」の送付を行なう。なお、今回情報提供者から送られてきた情報に含まれていたヘッダ(2通分)を見ると、sscomのIPだけをのっとっているのではなく、複数のIPをのっとり各々から攻撃を仕掛けているもよう。(1月8日分は韓国KRNICの管理するIP)その後、TROJ_GOP.196.DRによって送られてくるパスワード情報を収集する。さらに、収集した情報を利用して、様々な攻撃を仕掛けてくると思われる。

 今回のウイルスおよびウイルスを使用した攻撃は、破壊活動を行わないため、感染者が感染している事実に気付かない可能性がある。そのため、継続的にパスワード情報を盗まれる危険性がある。

以下に、情報提供者より送られてきたヘッダを示す(適宜伏字の部分有り)

1月4日
───────────────────────────────────
X-ALMail-Status: AACAQILSODyNHwUAAAAAAAAAAAAA
Return-Path: <mail@btamail.net.cn>
Delivered-To: ***@***.**.jp
Received: (qmail 29421 invoked from network); 4 Jan 2002 17:53:00 +0900
Received: from shield.***.**.jp (**.***.**.***)
by mail.***.**.jp with SMTP; 4 Jan 2002 17:53:00 +0900
Received: (qmail 18493 invoked by uid 504); 4 Jan 2002 08:51:11 -0000
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 4 Jan 2002 08:51:09 -0000
Received: from sscom([***.***.***.***]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm533c358c6e; Fri, 4 Jan 2002 08:52:26 -0000
From: ************ <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?vMe1w8rVusPO0rXE1dXGrNG9o6E=?=
Date: Fri, 04 Jan 2002 17:51:52 東京 (標準時) 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
X-Virus-Scanned: by AMaViS
───────────────────────────────────

1月8日
───────────────────────────────────
Received: from host2.btamail.net.cn (HELO btmail.net.cn) (202.106.196.72)
by shield.***.**.jp with SMTP; 8 Jan 2002 11:11:42 -0000
Received: from kiti([211.41.9.1]) by btamail.net.cn(JetMail 2.5.3.0)
with SMTP id jm5a3c3b0007; Tue, 8 Jan 2002 11:14:01 -0000
From: <mail@btamail.net.cn>
To: g_op@163.com
Subject: =?gb2312?B?eHVl?=
Date: Tue, 08 Jan 2002 20:02:31 エ・ムケホアケ ヌ・チリステ 0900
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="──=_NextPart_000_0007_01C0F59F.F2AB6D60"
───────────────────────────────────

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  8. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  9. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  10. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP