月曜日, 6月 14, 2010

pastebinサーバとkeylogger(キーロガー)マルウェアの関係

キーロガーとは、キーボードからの入力を監視して記録するソフト。もともとデバッグなどに利用するツールだったが、近年ではこっそり仕掛けてパスワードを盗むなど悪用される事例が増えている。

常駐型のソフトとして別のソフトの使用中に透過的に動作するようになっており、複数の人間が利用するパソコンにこっそり仕掛けてパスワードやクレジットカード番号などを収集するなど、悪用されることが多い。実際、インターネットカフェに仕掛けられたキーロガープログラムにより、ネットバンキングのパスワードが盗まれ、知らないうちに口座から現金が引き出されるといった被害が発生している。

最近沢山キーロガーマルウェアから取られた情報はpastebin.caのサイトで発見されました。pastebin.ca(http://pastebin.ca/)若しくはpastebin.comの見た目はソース交換されているサイトですが、pastebinサーバの中に沢山facebookやtwitterおログイン情報とパスワードが発見されてます。簡単な再現仕方が直ぐにも出来ますので、下記の画像で書いたようにGoogleで検索したら沢山個人情報が出てしまいます↓


Malware Cityサイトより同じ不具合もレポートされています。下記の画像pastebin.comに見つけたキーロガー情報です。


何故かハッカー達はpastebinサーバを使われているのか?pastebinサーバに沢山テキストフォーマットのコードが保存されていますので、pastebinにキーロガー情報を保存されると直ぐにはばれないかとハッカーの目的と思われます。

今迄pastebinサーバを使われているキーロガー・マルウェアがありますか?
BitDefender社より回答はあります、「Trojan.Keylogger.PBin.A」のキーロガーはpastebinのAPIを使い お客様の個人情報がpastebinサーバにアップロードされてしまいます。

どんな種類キーロガーマルウェアが流行っていますか?
今年の1月に下記のキーロガー種類がはやりました。発見されたキーロガーが同じ種類ですけれども様々なウイルスメーカから名前は別々となります。キーロガーは基本的にトロイ種類のマルウェアですが、種類によります。

Win32/IRCBot.worm.variant
TR/Crypt.XDR.Gen
Backdoor/Win32.Rbot.gen
W32/Backdoor2.XVS
Win32:Delf-GIY
IRC/BackDoor.SdBot4.ONC
Trojan.Keylogger.ADY
Trojan.Delfinject.ag
Trojan.Mybot-10022
TrojWare.Win32.TrojanDropper.Delf.~DI
Trojan.DownLoader.50961
Win32.TRCrypt.Xdr
W32/Backdoor2.XVS
Trojan.Keylogger.ADY
W32/RBot.HYJ!tr.bdr
Trojan.Keylogger.ADY
Trojan.Win32.ProcessHijack
Backdoor/RBot.ibm
Backdoor.Win32.Rbot
Backdoor.Win32.Rbot.hyj
BackDoor-EFI
BackDoor-EFI
Trojan.Crypt.XDR.Gen
TrojanDropper:Win32/Agent.BAD
Win32/TrojanDropper.Delf.NJH
W32/Spybot.DOQT
W32/Gaobot.OXI.worm
Worm.Rbot.AATS-
Trojan.DL.Win32.Mnless.fhz
Troj/Spy-DW
Backdoor.Rbot
W32.Spybot.Worm
Trojan/IRCBot.gen
TROJ_DELF.SMX
Backdoor.Win32.Rbot.hyj
Worm.Rbot.AATS

---
http://0day.jp
マルウェアリサーチチーム

0 件のコメント:

コメントを投稿