Aliexpressで購入
先日、ESXiサーバー構築のために小型&小容量のUSBメモリが欲しくなったので適当にAliexpressで購入。
写真のような超小型のUSBメモリです。容量は16GBで値段は300円弱だったと思います。
ブート用にサーバーマシンに常時接続した状態で運用する予定なので、これぐらい小型だと引っかけたりして破損する心配も無いので有難い。
USBメモリ内を確認
そのままUSBメモリにサーバー用のプログラムを上書きインストールするつもりでしたが、ふと初期状態のUSBメモリ内が気になったのでWindows上からエクスプローラーで内部を確認してみると、
ん?なんか初期状態で”AUTORUN.INF”ファイルが入っています。AUTORUN.INFファイルはCDやUSBメモリ等の外部記憶装置がPCに挿入された時に自動実行するプログラムが記述されたファイルなので、これはかなり怪しい。
AUTORUN.INFファイルの内容を見てみると、挿入時に”LPREMOVE.EXE”というファイルを自動実行する旨の記述がされています。うーん、ますます怪しいw
しかし、先程の画像の様にUSBメモリ内には一見そのような”LPREMOVE.EXE”というファイルは見つかりません。
脅威の検出
”もしや”と思い、エクスプローラーの設定を”隠しファイルを表示する”に変更してみると、
エクスプローラー上でLPREMOVE.EXEファイルが表示されました。
・・・、と同時に画面右下にWindowsセキュリティが脅威を発見した警告を表示してきました。
脅威の詳細はこんな感じ。トロイの木馬型のマルウェアの様です。
↓VirusTotalでのスキャン結果はこんな感じ。出るわ出るわの悪意のあるファイル判定。これは完全にクロですなw
https://www.virustotal.com/gui/file/3997c4364a8db85a764cc4ace5ab034d2e1b02de2d3323375d323e2f1ce1ead8
幸い被害は無し
その後、念のためWindows全体のウィルス関係のフルスキャンを実行。
幸い自分はWindowsの外部記憶装置の自動実行機能をオフにしていたのと、Windows標準搭載のセキュリティソフトであるDefenderが該当ファイルを隔離してくれたようで特に被害は無かったと思われますが、何にせよ改めて中華サイトの闇を知ることが出来ました。
ここ数年は中華サイトであるAliexpressでの購入もかなり頻繁に行っており、特にトラブルも無かったので気が緩んでいたのもありますが、改めて中華サイトでの商品購入時には注意すべきだと感じました。もちろん、中華サイトの中でもこの様な怪しい販売業者は極々一部だけだとは思いますが。
って事で、今回はここまで。では、また。
追記:
後日、念のためValiDriveというソフトを使い容量偽装チェックも行いましたが、こちらは問題なさそうでした。
到着時に梱包もちゃんと密封されていたので、マルウェアの方は何らかの原因で製造過程で混入したものと思われます。販売者に悪意があったのかどうかは謎ですが、それにしても迷惑な話ですねぇ。
