追記(2010年2月 3日)
8080系の記事に関して時系列順にまとめました。
お詫びとお知らせ(2010年1月17日)
本エントリーのタイトルや、本文中に「感染してみた」とか「感染した」とか「感染してる」とかありますが、このエントリーの時点では感染してません(いや実はわからない所にウイルスが潜んでいるのかもしれないんで断言はできませんが、多分・・・してません。)
エントリー自体削除しようかとも思ったんですが一応記録として残しておきます。
どういう事かは関連エントリーを順番に見て頂くとなんとなくわかると思うんですが
いわゆるGENO系ウイルス感染してみた - smilebanana
いわゆるGENO系ウイルス感染してみた2 - smilebanana
いわゆるGENO系ウイルス感染してみた3 改ざんされるのか - smilebanana
とりあえず本当に感染してたらこんな感じになるようです↓
現在進行形で感染拡大中の
えーっと何て言ったらいいんだろう。GENO系?Gumblar系?8080系?WEBサイト改ざん系?のウイルスに、わざと感染してみました。
先日Microsoft Security Essentials(以下MSE)をインストールしたXP modeで改ざんされたと思われるサイトにアクセスしたら
ホストOS(Windows7)側にインストールしてあるESET Smart Securityにブロックされてしまったので
邪魔されないよう(?)全く別環境のノートパソコンで試してみました。
ちなみに環境はこんなん。
OS | WindowsXP Pro SP3 |
WindowsUpdateは? | 自動更新を有効にしてあるので 1月5日までの重要な更新は適用済み |
IEのバージョンは? | 7.0.5730.13 |
ウイルス対策ソフトは? | Microsoft Security Essentialsインストール済み 定義ファイルの更新日時:2010/01/05 9:23 ウイルス定義のバージョン:1.71.1749.0 スパイウェア定義のバージョン:1.71.1749.0 |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
「WindowsUpdateはきちんとやってるんだけど他のソフトのアップデートはどうだっけなー?
あ、ウイルス対策にはお金使いたくないので無料のMicrosoft Security Essentialsを利用してまーす^^」
っていう感じのパソコンを想定してます。
改ざんされたサイトにアクセスしてみる その1
とある美容院のサイト
今確認してみたらソースのお尻のほうに
<script>/*GNU GPL*/ try{window.onload ~(略)~
<!--a177cb085520d93~(略)~42866-->
こんな記述あり。
___ ━┓
/ ― \ ┏┛
/ (●) \ヽ ・
/ (⌒ (●) /
/  ̄ヽ__) /
/´ ___/
| \
| |
何やってるのかよくわからない動画になってしまった。
いや、もうちょっと画面がチラつくとか何か表示されるとかあるのかと思ったんですが、派手な事は何もおきねぇ。
表示中にCPU使用率とメモリ使用量が一瞬上がったくらい。
あと、ステータスバーをよく見ているとページ読み込み時に
勝手に他のサイトから怪しいファイルをダウンロードしているという表示がペロペロっと出ます。(↑のアドレスには絶対アクセスしないように)
それから、(プロセスを見ていれば)勝手にjava.exeとAcroRd32.exeが起動するのがわかります。
けど、それだけ。
よくわからないけど恐らくこれで感染してます。
うわー、こんなん絶対気付かんわー・・・
ちなみにMSEは無反応。
引き続き別のサイトを表示してみます。
改ざんされたサイトにアクセスしてみる その2
とある指揮者の方の公式ブログ(WordPressME2.0.9で構築されている様子)
現在は復旧しているようですが、昨晩の時点ではソースのお尻に
<script>/*GNU GPL*/ try{window.onload ~(略)~
<!--45eab719efa59~(略)~0cfa8cb-->
こんな記述がありました。
/ ― \ ┏┛/ ―\ ┏┛
/ (●) \ヽ ・. /ノ (●)\ ・
/ (⌒ (●) /. | (●) ⌒)\
/  ̄ヽ__) / | (__ノ ̄ |
/´ ___/ \ /
| \ \ _ノ
| | /´ `\
相変わらず何やってるのかよくわからない動画に・・・。
ただ、こちらもステータスバーをよーーっく見てるとページ読み込み時に
一瞬こんな表示がペロペロっと出ます。(↑のアドレスには絶対アクセスしないように)
でもやっぱりそれだけ。
相変わらずよくわからないけど恐らくこれも感染してます。
そしてMSEは無反応。
で、その後色々調べ物をしているうちにうっかり寝てしまい、目を覚まして他の(改ざんされていない)Webサイトを見て回っていると、突然IEがフリーズ寸前な重たい感じに。
タスクマネージャを見てみると、iexplore.exeのメモリ使用量がぐいぐい上がっている様子(1.2GBくらいまで上がったのは確認)なので、とりあえずiexplore.exeを強制終了。
勘の鋭い人ならここらへんで「ん?ちょっとおかしいぞ?」と気付くかな?という事で
MSEでフルスキャンを行ってみます。
検出されたウイルスは3種類
Trojan:Java/Selace.K
Exploit:Java/CVE-2008-5353.C
Trojan:Java/Selace.l
検出されたファイルは多数ありましたが場所はいずれも
C:\Documents and Settings\(ユーザー名)\Local Settings\Temp\
これだけではちょっと不安なので、今回対応が早かったと噂のKasperskyでオンラインスキャンしようと思ったら
現在メンテナンス中のため、ご利用いただけません。ご迷惑をおかけして申し訳ございません。
機能を強化した新しいバージョンのカスペルスキーオンラインスキャナが近日中にリリースされます。
残念。
そこで、エンジンはKasperskyだという@niftyウイルスチェックサービスでスキャンしてみようと思ったら
何回試しても上手くスタートしないので諦めて電源落として一旦寝る。
そして翌日、トレンドマイクロのオンラインスキャンをやってみる。
・・・でスキャンをしていると
思い出したかのようにMSEが反応。
なぜ今!?
それもバラバラに3回。
結局ここで検出したウイルスは2種類
Trojan:JS/Redirector.BF
Trojan:JS/Redirector.BE
検出したファイルの場所は
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\2KRWBKKX\
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\JUTPRA2I\
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\NF6Z0OII\
ちなみにトレンドマイクロのほうのスキャンは
デスクトップに保存してあったKates用のワクチンファイルをなぜか誤検出して終了。
感想
・対策をしてないとびっくりあっさり感染する。ダイアログも何も出てこないのでまず気付かない気がする。
・今回のようなタイプのウイルス(の感染活動)に対して、Microsoft Security Essentialsは無力らしい??
検出はするけれども、侵入は防げない??
「いざ怪しい動きをし始めたらちゃんとブロックしてくれるんだろ?それなら別にいいじゃん。」って言われたらまぁそうなんですけど・・・
・感染してるのかどうかの判断が難しい。
(改ざんされたサイトへアクセスした時の反応が)あまりにあっさりしてるので「本当に感染してんのか?」と思って確認しようとしたんだけども
「こんなファイルがあったら/レジストリの記述があったら感染してますよ!!」とかいう基準になるようなものがわからず。
セーフモードで起動してスタートアップとかレジストリとか確認しても特に怪しいファイルが増えてるような事はなかった(レジストリを見てもmidi9は見つからなかった。)
IEの動きが重くなったのでなんとなく気付けて、フルスキャンをかけてようやく「あぁ、本当に感染してたんだ」とハッキリわかった次第。
・やっぱり、昨日退治していたSecurity Toolもこのタイプのウイルス感染がきっかけになっているらしい。
今はまだこの程度で済んでますけど、今後、前のGENOみたいに画面が真っ暗になって正常にWindows起動しなくなっちゃう!とか、個人情報かきあつめてばらまいちゃう!とかいうタイプの凶悪な亜種が出てくる可能性も十分にあると思うので、「ホームページの管理とか関係ねー」という人もきっちり対策しておくことをおすすめします。
ローソンのサイトはよく使っているので、驚きました。しかも過去にはローソンの採用情報を調べたこともあり(大分前だし、改ざんされる前だと思う)凄い心配になりました。
私の場合はMicrosoftUpdateの他にトレンドマイクロ社のウイルスバスター2010を使っています。でもウイルスバスターは1ヶ月に1回ウイルス検索する程度。設定もよく分からずデフォルト(購入時のまま)です。
とりあえず有料のウイルスバスターが入っているだけでもましなのかな。ちゃんと使わないと意味無いのかな。とにかく不安です。かと言ってネットサーフィンは今後も続けたい。今後も新しい情報を待ってます。
この後ウイルスバスター2010をインストールした状態で感染するのか試してみましたが(少なくとも1月9日の時点では)改ざんされたサイトへアクセスしてもウイルスバスターが警告を発する事はありませんでした。
また、その後フルスキャンをかけてみましたが↑でMSEがウイルスとして検出しているようなテンポラリファイルにもウイルスバスターは一切反応しませんでした。(その後カスペルスキーをインストールしてスキャンしてみたら、カスペルスキーは反応して隔離しました)
不安に思うようでしたらひとまず(ほとぼりが冷めるまでorウイルスバスターの対応がよくなるまで)カスペルスキーの30日間無料試用版へ乗り換えるというのも一つの手かと思います。
こんにちは。
ガンブラーの貴重な情報ありがとうございます。
しかも、感染の瞬間のスクリーンショットとはすばらしいです。ブラボーです。
なんかセキュリティ警告のダイアログでも出て「やらないか?」「はい(Y)」みたいなイメージだったんですけど…、あっさりしてますね。pdfか。こりゃやられるわ。
こんばんは
追記の部分をよく読んで頂くとわかると思うんですが、この動画は時はまだ完全に感染していない状態だと思われます。
本当に感染するとこんな感じになるようですのでこちらもどうぞご覧くださーい↓
http://www.smilebanana.com/archives/2010/01/18-0003.php