スパムプログラムは、情報通信ネットワーク利用促進および情報保護などに関する法律に基づく違法プログラムである。ASEC 分析チームは、ブログを通してマーケティングプログラムのように販売しているスパムプログラムについての記事を掲載したことがある。今日は過去に紹介したスパムプログラムと似たプログラムを紹介する。
ファイル名が Naver Blog Report Program.exe として収集されたファイルは、以前のブログでも紹介したスパムプログラムと同様、C# 言語で開発されていた。主な機能としては、キーワードを利用して特定のブログについての記事を検索し、ブログの内容に特定の URL が存在する場合はリストに追加して通報する。
上記の内容を見ると、この機能は正常なプログラムの機能であるように見える。しかし、ブログ通報プログラムは、Web ページでスパムメッセージを継続的に送るなど、不正使用されるプログラムの Bot を遮断するために作られた技術である CAPTCHA を回避するための機能が含まれている。これは、サービスの提供者が正常なサービスを提供するための機能を意図的に回避するためのものであると考えられる。
広告ブログを作成するスパムプログラムの機能は、特定のホームページから画像をダウンロードし、自動でブログ内容を作成することがあげられる。そのため、自動ログインおよび継続的なスパム文章の作成のための IP 変更機能、ID 自動ログインなどが機能として含まれている。同じように作成される文章としては「詳細を見る」などの文章と「パートナーズ活動の一環として、このような」などの文章がある。このような文章によって[図4]の右側のブログ内容のように、正常な広告もしくはプロモーションの記事だと認識することができる。しかし、このブログの内容は、上記のプログラムと同じように作成されていることがわかる。
ブログ通報プログラムのブログ内容検索部分である[図2]に存在するアドレスの3つのうち、2つは広告ブログ作成スパムプログラムから見つかった。現在は3つの URL アドレスすべてにアクセスできない状態である。
サービス提供者が Web ページからスパムメッセージを送り続けるなど、不正に使用されるプログラムである Bot を遮断するために作られた技術である CAPTCHA を回避して特定の振る舞いを繰り返す行為は、正常なサービスの使用方法ではない。そのため、このような PUP プログラムの使用を控えなければならない。
[ファイル検知]
– PUP/Win.Generic.C536347 (2022.11.16.01)
– PUP/Win.Generic.C534586 (2022.11.16.01)
– PUP/Win.Generic.C534663 (2022.11.16.03)
[IOC]
MD5
– b3388cafdb57f67064c72bbc55073d31
– c375da4840c1e5e585e4412c6a03570b
– 147ee47a3dceaeec0cb7ac7684837139
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報