Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

CNETのWebサイトから感染したVSDCインストーラが拡散される

2020年2月7日

株式会社Doctor Web Pacific


この度、Doctor Webのウイルスアナリストは人気の高いソフトウェアプラットフォーム CNET 上にある動画編集ソフトウェア VSDC のダウンロードリンクが侵害されているということを明らかにしました。訪問者は正規ソフトウェアの代わりに悪意のあるソフトウェアがバンドルされた改変されたインストーラを受け取ります。その結果、サイバー犯罪者が感染したコンピューターにリモートでアクセスすることが可能になります。 SimilarWeb の統計によると、CNETのダウンロードセクションには毎月約9000万人のユーザーがアクセスしています。

Doctor Webでは2019年の初旬にも、人気の動画編集ソフトウェアであるVSDCの公式サイトが侵害されていることについて記事を掲載しています。今回のサイバー犯罪者の手口は、VSDCのWebページ上にあるダウンロードリンクを偽のリンクと置き換えることで、CNETの download[.]com から悪意のあるインストーラが拡散されるようにするというものでした。

#drweb

侵害されたリンクをクリックしたユーザーは downloads[.]videosfotdev[.]com へと飛ばされます。これはハッカーにコントロールされるスプーフィングされた(偽装された)ドメイン名です。標的となるユーザーは位置情報に基づいて決定され、標的の対象外となるユーザーは正規のVSDCサイトへリダイレクトされます。それ以外のユーザーはハッキングされたインストーラを受け取りますが、このインストーラは有効なデジタル署名を持っています。

感染メカニズムは次のようになっています。インストールプロセス中に、インストーラは実際のプログラムの他に2つのフォルダを %userappdata% ディレクトリ内に作成します。フォルダの1つにはリモートコントロールアプリケーション TeamViewer 用の通常のファイルセットが含まれています。もう1つのフォルダにはダウンローダ型トロイの木馬が含まれており、このトロイの木馬はリポジトリから悪意のある補助モジュールを取得します。これらはトロイの木馬が感染させたコンピューターへの不正な接続を確立することを可能にする、 BackDoor.TeamViewer として検出される.dllファイルであり、また、Windowsにビルトインされたアンチウイルス保護をすり抜けるためのスクリプトでもあります。

BackDoor.TeamViewer を使用することで、サイバー犯罪者はペイロードモジュールを持つマルウェアを感染したデバイス上に侵入させることができます。以下はそれらの例です。

  • キーロガー X-Key
  • スティーラ Predator The Thief
  • プロキシ型トロイの木馬 SystemBC
  • RDPプロトコルを介したリモートコントロール用トロイの木馬

リポジトリの1つにはハッキングされた NordVPN インストーラが含まれているという点にも注意が必要です。このインストーラも指定された悪意のあるコンポーネントと有効なデジタル署名を持っています。

上記すべての脅威はDr.Web製品によって検出・駆除されています。

VSDCユーザーの方はDr.Webアンチウイルスを使用してお使いのデバイスをスキャンすることをお勧めします。

Indicators of compromise

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2020

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F