nekoboxです。 この度私は既知RATの改変と予想しましたが、まったくの新種ということで外れましてすいませんでした。m(_ _)m で、みなさんはすでにいろいいろな情報を見ていると思いますが、 要は P2P Proxy+日本のある掲示板→ターゲットPCのコントロールという理解はみなさんよろしいでしょうか？ で、私は海外の複数のサーバーを経由してコントロールされてるときいて「あっ、あれかな？」と思っていたら案の定そうでした。もちろん、みなさんこのP2P Proxyときいて「なんだあれかぁ～」とすぐ気ぢかれましたよね？　「えっ、何のこと？」なんて言ってる回答者居たとした回答者はあきらめてここを去ったほうがいいです。 で、このシステムでは当然Exit Nodeまでは辿れますが、それ以前はまず無理です。従いまして、元の犯人までは特定できないと思います。 あと、 http://gigazine.net/news/20121011-iesys-exe/ の上部のほうで「いつ自分が被害者になるかが分からない、というわけです」とありますよね。 私はここのサイトにおいてかなり前から「犯罪の濡れ衣を着せられることも有りえますよ」と書いてます。奇しくも今回それが証明されてしまったわけです。 で、私の調べたところでは、このバックドアの作者は7月には少なくとも最初のバージョンは一応の完成はさせていたようですね。ひょっとしたら夏休みを利用して開発された可能性もあるのかなと。つまりは学生さんの可能性もあるかも。で、そのサイトにも書かれていますが、今後機能強化された新Verとか出てくる可能性あります。もちろん、そうしたらまたアンチウイルスに引っかからない可能性もあります。ただ、ヒューリスティックで検出されることもあるかもしれないですが。 どっちにしても、リモートアドミンなんて別に珍しくもないので対策としてはいつも書いてる通りです。 [重要基本対策] http://www.forest.impress.co.jp/lib/inet/security/antiadspy/secunia... http://support.microsoft.com/kb/2458544/ja Microsoft Update ブロードバンドルータの使用 有力総合対策ソフトの使用(include HIPS or Behavior Blocker) クリーン状態のシステムバックアップを定期的に取る JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール ※ 今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。 http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/

http://www.hoshusokuhou.com/archives/18777839.html あの、私だいたい読めましたね。 真犯人がその無料ソフトDLサイトに元からあるフリーソフトにウイルスを結合+ファイル情報などの偽装+アンチデバッギング こんな感じ クラッカーコミュ行けば結合ツールとかファイル情報偽装、難読化ツールなんてたくさん転がってますからね。 まあ、要はやつらが疑いをほとんど持たずにDLして実行したってよくあるパターンでしょ。 俺なんかそもそも仮想環境上じゃないと実行しませんね。 ま、時間の経過とともにいろいろわかってくるでしょう。

あの、今回の件ではどっちにしても海外の複数のサーバーを経由して行ってる可能性高いので 真犯人を割り出すのは非常に困難です。 私の勘ではたぶんたどり着けないと思う。 参考まで

http://mainichi.jp/select/news/20121009k0000e040177000c.html この記事を読む限りではボットの可能性もありそう。 リモートアドミンもしくはボット

nekoboxです。 ANo.9でWebCamキャプチャお見せしましたが、大元のコントロールメニュー下部画像でお見せします。 で、私は先に以下のようなことをすでに申してました。 http://okwave.jp/qa/q7701252.html 「犯罪の濡れ衣を着せられる可能性あります」とね。 実際にあり得ましたよねｗ。

> ニュースでは今回のウィルスは市販のセキュリティーソフトでは検知できないと言わ > れていました。 > 対策はないものなんでしょうか。 だから特効薬はないと既に回答したはずです。 未知のウイルスに対して完璧に対応できるソフトなんて有りませんよ。 ユーザとしては、ウイルス対策ソフトの導入・更新を徹底すると共に、不用意に未知のソフトをダウンロードしない慎重さが必要です。

参考までに、リモートアドミン系マルウェアによるWebCamコントロール見せてあげます。要は盗撮です。 感染させたマシンがWebCam使ってたらの話になりますが、 ちなみに、このテストは当方のローカル環境で行っています。 このリモートアドミンは非常に有名なやつです。 今も開発が継続してますが、もしかしたら現行Ver.がFinalかもしれないです

こんにちは。 私はこの種のマルウェアにかなり詳しい者です。実物も何度もここで紹介していますｗ。 TVのニュースを見ましたが、新種とされていましたが私はそうは見ていません。 機知のリモートアドミン+アンチデバッギングと見ています。 >ウィルス対策だけでは防げないのものでしょうか。 はい、防げないことも多いです。 なぜなら、対策ソフト対策してくるからｗ。 ちなみに、MS12-063を悪用した攻撃で送り込まれてきたのもリモートアドミン系のやつです。 あっ、みなさん知らないでしょうから教えますが、最近のこの種のマルウェアって、リバースコネクション+バイパスファイアウォール仕様が普通になってますｗ。 で、 [重要基本対策] http://www.forest.impress.co.jp/lib/inet/security/antiadspy/secunia... http://support.microsoft.com/kb/2458544/ja Microsoft Update ブロードバンドルータの使用 有力総合対策ソフトの使用 クリーン状態のシステムバックアップを定期的に取る JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール ※ 今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。 http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/

　スマートフォンからパソコンを遠隔操作出来るフリーソフトが公開されています。（以下リンク参照） 　このフリーソフトそのものは問題無いようですが、ソフトをリバースエンジニアリングして、同じ方法を使ったウイルスを作って感染させたか。遠隔操作出来るソフトに感染するウイルスを作ったかのどちらかでしょう。 　おそらく、アプリケーションソフトにウイルスを仕込んで感染させる方法でしょうが、一般的なウイルス対策ソフトでは発見が難しいウイルスのようです。 　行政機関がサイバーアタックで侵入されているのは全く別の方法ですから、今度の事件とは無関係だと思います。 　従来のウイルス対策を変える必要は無いと思います。ウイルス対策はメーカー側の対応を待つしかありません。

確かにセキュリティソフトとウイルスはいたちごっこの関係ですから、セキュリティソフトだけに責任を負わせるのは無理ですね。ＰＣ側での完全防御は難しいでしょうね。 問題は、IPアドレスを絶対証拠として扱う、警察の捜査方法にあるのではないでしょうか。 ＤＮＡでも間違うことがあるのに、ましてやＩＰアドレスなどもっとあやふやなものです。そのことが今回の事件で分かりました。ＤＮＡと違って、ＩＰアドレスは改竄が容易なことが。そんなものをインターネット技術に疎い警察が、生半可な知識で捜査に使うのが間違いの元です。ＩＰアドレスはせいぜい傍証か参考情報程度にとどめるべきです。そうでないと今後ますます冤罪が広がるでしょう。 腕の悪い医者に手術を任せているようで、実に怖い世の中です。