【LummaC2 感染】情報窃取型ウイルスに感染した話
リテラシーあっても好奇心には勝てないという典型例
皆さんもお気を付けください。
発覚した経緯
やけにDiscordからのメッセージ通知が大量に届くんで何かあったのかと思ったら、
僕がsteamの偽リンクを送りまくってたんです。
それで「やべぇ….!!!」と思ってパスワードを大急ぎで変更したので何とか事なきを得ました
そして落ち着いたころPC全体スキャンした結果…..
完全にやられました
潜んでいた場所
C:\ProgramData\uepl 以下
ウイルス種別が発覚した経緯
発見されたファイルの最終更新日時が10月10日だったので、
「DNS名前解決ログ残ってるだろうな」と、ログを探しました。
pyramidyjwu.bizが名前解決されていることが発覚
とりあえず情報収集しようとBingりました。
ThreatFox | https://pyramidyjwu.biz/api (abuse.ch) このページによると、
Malware alias: LummaC2 Stealerらしい。終わった
そして、実は10月10日に野良exe拾っていたことを思い出します。それもアホみたいに怪しい。
ちなみにどこで拾ってきたんだよ
Home :: List of files by Microsoft® (rg-adguard.net)に、
※これは過去のMicrosoftのリリースしたソフトウェアのハッシュ値が載ってるサイト
※一部を除きほとんどが現在入手困難なものばかり ⇐ってのもあってダウンロードしちゃった
こんなボタンがありました。(↑画像です)
これを押したら、
これがダウンロードされました。
普通は削除するんだけど、何を血迷ったのか、zipを展開して、パスワード付きrarを展開して、…..
ちなみに、VLC Media Player Installerを装ってました。
今思えば絶対ウイルスなのにさぁ….
でもさ、VirusTotalで検出数0だったら普通実行しちゃうよね!?(言い訳)
※出所の怪しいアプリの検出数0は確実にウイルスを疑え
結論
リテラシーあっても好奇心には勝てないという事例を作ってしまった
ななしぃ氏
思ったよりもアホだった可能性浮上
それよりも再インストールしたくない ⇐おい
P.S.
Windows再インストールしました
Windowsを再インストールしたら散々な目に遭った話 (Windows Insider) | ななしブログ
散々な目に遭いました(↑)
P.P.S.
実はこの3日前、Amazonから「不審なログイン」SMSが届いていたのですが
まぁいつもの詐欺メールだろうと思って、無視したんですよね。
Amazonでした…
P.P.P.S.
5月18日 文章を書きなおしました