フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除 3
ストーリー by hylom
反撃 部門より
反撃 部門より
Anonymous Coward曰く、
フランス警察がAvastの協力のもと、マルウェアのボットネットを利用して、マルウェアに感染した85万台のコンピューターを操作し、そのマルウェアを消去した( ZDNet)。
問題になったマルウェアは2017年から確認されている「Retadup」と呼ばれるもので、Windowsマシンで暗号通貨を採掘・送信する。技術的な情報と実行された対処については、Avastが8月28日付けで詳しいレポートを出している(公開されたファイル情報やレジストリのキーなど)。
ウィルス対策ソフトを意識してサンドボックス下での動作を嫌って大人しくしているところや、フォルダに見えるショートカットをC:以外の全てのドライブに作成する(つまり、USBメモリなどを通じてゆっくり増殖する)など、物語として読んでもわりと面白い。BBCによると当局が説明した侵入経路は「儲け話やエロ画像を餌にしたメールと、感染済みのUSBドライブ」らしい。2017年のトレンドマイクロの解説では標的型、いわゆるスピアフィッシングが疑われていたので、ピンポイントな攻撃があったかどうかは気になるところ。
犯人は逮捕されていないが、Avastは作者のTwitterアカウントを特定した、としている。確かに、よく見るとトレンドマイクロとのやり取りでは犯行声明(曰く、「自分はハッカーではなく採掘の初心者」)らしきものもある。
ただ、感染地域を見ると、フランスを含むEU地域はほぼゼロで、中南米を中心にアメリカやロシアにも広がっていたようだ。法的にはどうなんだろうか。
ボットネットを利用して (スコア:0)
マルウェアを消去することもできるのか。
中身を書き換えて走らせたりもできるのかな
Re: (スコア:0)
正確にはボットネットが利用する「command and control (C&C) server」を乗っ取ったんだな、原文を見ると。
たいていのボット型マルウェアには自身を削除するボットコマンドが有るので、C&Cサーバを乗っ取って自身を削除する不正な命令を発行すれば消せる。
日本だとこれをやると不正アクセス禁止法で捕まるので、素人にはおすすめ出来ない。玄人にもおすすめ出来ない。
日本だと犯罪じゃないって騒いでなかったっけ? (スコア:0)
フランスでは犯罪のようだけど、皆さんはそれでいいの?