Posted by Pedro Bustamante
VodafoneがMariposaボットネットを拡散したという私のオリジナルの記事は、たくさんの注目を浴びたようです。異なる関係者達からのリアクションを見ることは非常に興味深いものでした。
Vodafoneはこれを単独のインシデントとして、彼らのフォーラムでこのインシデントについて質問しているユーザーの全ての書き込みを削除する一方、二日後にHTC MagicのEnd-of-Life(生産終了)を発表しています。
他方で、ブログ界におけるユーザーからのリアクションは、この発見に対する賞賛から我々への非難まで多岐に渡りました。不可避でかつ面白い Androidファン対iPhoneファンの論争と同様に..。
しかし、その記事はスペインにおいて別のITセキュリティ企業の従業員の注意を引くことになりました。S21Sec社はバンキングトロイと脆弱性の調査を専門としています。
この会社の社員も、私の同僚と同じ週にVodafoneのオフィシャルサイトから直接HTC Magicを購入しました。彼はその電話をまだPCに接続していませんでしたが、ニュースを見ると急いで帰宅し、USB経由で接続してMalwareBytesとAVGの両方でそのメモリーカードをスキャンしました。
すると驚いたことに、我々が初めに発見した時と全く同様にMariposaの存在が再び明らかになりました。
彼はすぐに我々にコンタクトし、親切にもMicroSDカードを送ってきてくれて、何が起きたかを分析するために我々が彼のPCに接続することまで許可してくれました。
ファイルの日付によると、彼のVodafone HTC Magicは、2010年3月1日19:07、Vodafoneから直接彼の元に電話が届けられる1週間と少し前に、Mariposaボットクライアントがロードされたように見えました。
このMariposaボットネットクライアントは、同様に隠されたNADFOLDERディレクトリにもロードされていました。それはAUTORUN.EXEと名付けられ、Windowsマシンにつないだ時に autorun機能を無効にしていない限り自動で実行されます(もしまだ対策をしていない場合はautorun機能を無効にするためにUSBワクチンをダウンロードしましょう)。
Mariposaボットネットクライアントそれ自身は、先週報告されたものと全くもので、ニックネームとコマンド&コントロールサーバーも同じでした。
彼がインストールしていたアンチウイルスは、PandaではなくAVGでした。
では、この全てのことから私達はどのような結論を導き出せるでしょうか?
ここから学べることは、電話にマルウェアをプリローディングするのを止めさせるか、少なくともITセキュリティ企業の従業員にそれらを売るは止めろということです。;-)
Vodafoneはこれを単独のインシデントとして、彼らのフォーラムでこのインシデントについて質問しているユーザーの全ての書き込みを削除する一方、二日後にHTC MagicのEnd-of-Life(生産終了)を発表しています。
他方で、ブログ界におけるユーザーからのリアクションは、この発見に対する賞賛から我々への非難まで多岐に渡りました。不可避でかつ面白い Androidファン対iPhoneファンの論争と同様に..。
しかし、その記事はスペインにおいて別のITセキュリティ企業の従業員の注意を引くことになりました。S21Sec社はバンキングトロイと脆弱性の調査を専門としています。
この会社の社員も、私の同僚と同じ週にVodafoneのオフィシャルサイトから直接HTC Magicを購入しました。彼はその電話をまだPCに接続していませんでしたが、ニュースを見ると急いで帰宅し、USB経由で接続してMalwareBytesとAVGの両方でそのメモリーカードをスキャンしました。
すると驚いたことに、我々が初めに発見した時と全く同様にMariposaの存在が再び明らかになりました。
彼はすぐに我々にコンタクトし、親切にもMicroSDカードを送ってきてくれて、何が起きたかを分析するために我々が彼のPCに接続することまで許可してくれました。
ファイルの日付によると、彼のVodafone HTC Magicは、2010年3月1日19:07、Vodafoneから直接彼の元に電話が届けられる1週間と少し前に、Mariposaボットクライアントがロードされたように見えました。
このMariposaボットネットクライアントは、同様に隠されたNADFOLDERディレクトリにもロードされていました。それはAUTORUN.EXEと名付けられ、Windowsマシンにつないだ時に autorun機能を無効にしていない限り自動で実行されます(もしまだ対策をしていない場合はautorun機能を無効にするためにUSBワクチンをダウンロードしましょう)。
Mariposaボットネットクライアントそれ自身は、先週報告されたものと全くもので、ニックネームとコマンド&コントロールサーバーも同じでした。
00129953 |. 81F2 736C6E74 |XOR EDX,746E6C73 ; ”tnls”もしこれが偶然の一致というのに十分でないと言うのであれば、Mariposaに加えてさらに多くのマルウェアがSDカードに存在していたことを加えます。この電話のカードの以下の場所からWin32/AutoRunというワームも発見しました。
mx5.nadnadzz2.info
mx5.channeltrb123trb.com
mx5.ka3ek2.com
I:\RECYCLER\S-1-5-21-1254416572-1263425100-317347820-0350\system.exeそして、あなた方の中でそれでもこれらは陰謀であるという説を唱える向きには...
彼がインストールしていたアンチウイルスは、PandaではなくAVGでした。
では、この全てのことから私達はどのような結論を導き出せるでしょうか?
- Vodafoneは単独のインシデントとしたが、その論理は"p0wn3d"(「降参しろ」というような意味)とあなたがすぐに言えるほど弱っている。
- 当初、私は特定の修理調整された電話での問題だと思っていました。しかし、全く同じ名前のボットネットクライアントで全く同じ特徴を持ち、マルウェアがロードされたのとクライアントに届けられたのがほんの僅かの時間差で、全てが同じ週に起きているということは、もっと大きな問題がQAまたは電話の特定のロットのどちらかにあるのかもしれないと思わせます。
- あなたがヨーロッパにいて、数週間前または2010年3月1日以降にVodafoneからHTC Magicを購入していたとして、もし私があなたの立場なら自分のPCとHTCのmicroSDカードを再確認するでしょう。
ここから学べることは、電話にマルウェアをプリローディングするのを止めさせるか、少なくともITセキュリティ企業の従業員にそれらを売るは止めろということです。;-)
0 件のコメント:
コメントを投稿