以前、「JTBへの攻撃の考察・推測メモ」というエントリーを書きました。
そして、先月、ITProよりJTBの事故対応手順が明らかに、非公開の報告書を読み解くという記事が公開されました。こちらは、記事中にもある通り配布された「観光庁への報告書とほぼ同じ内容」(JTB)報道用資料をもとに書かれているようです。その記事の中に以下のような気になる個所がありました。
2回目の会見では添付ファイルは圧縮ファイルで、解答するとWindowsフォルダー型のアイコンが生成されたと明らかにした。フォルダーのアイコンをクリックすると航空券のeチケットのPDFファイルが表示されたという。
以前の報道では、メールで送られてきたファイルはPDFないしは、PDFに見せかけたようなファイルが添付されていたといったような報道がされていたのですが、そうではなかったようです。この情報に該当する検体を入手できましたのでそちらの情報を共有します。
(注)報道されている情報と一致する箇所が多い検体ではありますが、この検体がJTBへの攻撃に利用されたかどうかということを断定するものではありません。
入手した検体は以下のようなアイコンでした。
(ファイル名はハッシュ値.exeと変更しています。)
こちらをデスクトップ上で実行するとこのファイル自体が削除され、その直後に同名のファイルがデスクトップ上に作成されました。
(exeのときと若干アイコンが異なります)
こちらで作成されたフォルダの中には以下のように三つのファイルが存在していました。
また、同時にファイルを実行したユーザディレクトリに「crss.exe」というファイルが作成されました。こちらがマルウェア本体のようです。
以下は、今回調査したファイルの情報です。
【フォルダアイコンの実行形式ファイル情報】
| 項目名 | 内容 | 備考 |
| ファイル名 | 不明 | |
| MD5 | 858AE9BE82B7B28C078BA2AF3B3BB27F | |
| SHA1 | 8B6614562A79A13E60D100A88F1BA4EB601636DB |
【crss.exe情報】
| 項目名 | 内容 | 備考 |
| ファイル名 | crss.exe | |
| MD5 | 3FE60FE9AEBDBE8407900682F26C1517 | |
| SHA1 | 048790098A7C6B8405761B75EF2A2FD8BD0560B6 | |
| 通信先 | http://101.1.25.90/multi/index.html |