【まどかマギカ】パソコン遠隔操作ウイルスソフト名は「ちかんくん」。

文字置き換えフリーソフトとして配布されていた「chikan.zip」。1、2ヶ月間検出されず出回る。

 “遠隔操作ウイルス”はいくつかの無料ソフトを装って配布されていた模様だが、中津留氏が解析したのは、文字列の置換を目的としたテキストエディターソフトを装い、「chikan.zip」というZIPファイルに固められてDropboxに蔵置されていたとみられる検体だ。インターネット掲示板上に記載されたリンクによって、被害者がこのZIPファイルをダウンロードさせるよう誘導されていた。
 このZIPファイルを解凍すると、解凍先のフォルダーに「Chikan.exe」と「data」という2つのファイルが現れる。ダウンロードした被害者は「Chikan.exe」をテキストエディターソフトと思って実行するわけだが、実は“遠隔操作ウイルス”のドロッパーであり、「iesys.exe」と「cfg.dat」という2つのファイルをアプリケーションデータフォルダーなど(Windowsのバージョンによって異なる)にインストールするとともに、Windows起動時に「iesys.exe」が自動実行されるようにレジストリエントリを書き加える。
 同時に、解凍先のフォルダーには「del.bat」というファイルを生成。これがドロッパーの「Chikan.exe」を削除する一方で、「data」のファイル名を「Chikan.exe」に変更。ドロッパーとは別のテキストエディターソフトとしての「Chikan.exe」が現れる。
“遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」 INTERNET Watch

ipa.png
ipa2.png
情報処理推進機構:情報セキュリティ 今月の呼びかけ

sk_remote.jpg
メール本文には「おひさしぶりです。真犯人です。」「ミスしました。ゲームは私の負けのようです。」「楽しいゲームでした。」などと記されている。
 添付された画像には、新聞の上に「魔法少女まどかマギカ」のキャラクターフィギュアと、それを囲む形のLANケーブル、ガムテープ、カッターナイフが置かれているのが写っている。
PC遠隔操作「真犯人」からメール届く 「ミスしました。ゲームは私の負けのようです」 – ITmedia News

iesysの仕組まれていたソフト名は複製ソフト?タイマーソフト?画像Exif編集ソフト?等いろいろいわれてましたが、その内1本のソフト名が判明。テキストエディター「痴漢くん」だそうですよ。一回入れると痕跡を消した後も「置換」ソフトとしてフツーに使えるとの事で…これは気づきませんねぇ…。
脆弱性を突っついて入り込むというタイプではない今回のウイルス。IPAでは出所不明のソフトをおとさない・開かない、安易にクリックしないようにとウイルス対策の原点にたちかえって改めて呼びかけておりますよ。スマホアプリ感覚でダイアログをポンポンと許可していくのも慣れっこになっては、危険ですね。こんな「ゲーム」には巻き込まれたくないのです。