いわゆるGENO系ウイルス感染してみた２

カスペルスキーでのスキャン結果

状態: 削除しました (イベント: 5件)

2010/01/09 21:14:49 削除しました トロイの木馬 Trojan.JS.Agent.axe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\E26TGK6K\index-1[1].htm 高

2010/01/09 21:14:50 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\JQR8FQ4Z\2711726[1] 高

2010/01/09 21:14:50 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\N3KW57R6\index_02[1].htm 高

2010/01/09 21:14:53 削除しました トロイの木馬 Trojan.JS.Iframe.hw
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\N3KW57R6\petardas[1] 高

2010/01/09 21:15:46 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\2711726[1].htm 高

状態: 隔離しました (イベント: 1件)

2010/01/09 21:15:50 隔離しました ウイルス HEUR:Trojan.Script.Generic
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\maxheight[1].js 高

やはりテンポラリフォルダから数件探し出してくる。

一度隔離(削除)されたファイルを復元してからカスペルスキーをアンインストール→ウイルスバスター2010をインストールしなおして

先程カスペルスキーが検出したファイルを直接スキャンさせてみるものの

高らかに安全を宣言される。

あてにならんなぁ、ウイルスバスター。

ちなみに同じファイルをコピーして私のメインPCで使っているESET Smart Securityでスキャンしたところ

こちらはきちんと反応してくれました。(っていうかUSBメモリからCドライブにコピーしようとしたら検出して勝手に削除された)

と、ここまでやって疑問が生まれる。

今回も一応レジストリのRunキーとかスタートアップフォルダに何か登録されていないか確認してみたんですが、何も追加されてなかったんですよねー。

という事は、一応感染は防げてるのか・・・？いやでもウイルスバスターのログ見ても活動したような痕跡はなかったから・・・ウイルス側が勝手にヘマやって感染に失敗しているのか・・・？

うーん・・・？

という事で

ノーガード戦法

脆弱性は今までのまま　＋　ウイルス対策ソフト無し

の状態で改ざんされたサイトを飛び回り、今度こそきっちり感染させて(?)一体何が起こるのか見てみたいと思います。

バックアップから実験を行う前の状態に戻した後、環境を整えて改ざんされているという情報のあるサイトを次から次へとちぎっては食べちぎっては食べ・・・。

途中、偽ウイルス対策ソフトをインストールさせられそうになったり。

っていうかこういうサイトにコードが埋め込まれてるのって絶対確信犯だと思うんですけど・・・。

で、そこそこ見て回ったのでセーフモードで起動して確認作業。

まずはレジストリ

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

左が実験前、右が実験後

困った事に変化無し。

続いてスタートアップフォルダ

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\

きっと「siszyd32.exe」が作成されているは・・ず・・・あれ・・・ない・・・・。

syszyd32.exe , ~TMD.tmp で検索をかけてみましたが、何も見つからない。

他にsqlsodbc.chmを改変するとかいう情報もあるみたいなので確認

サイズが50,727バイトだったら大丈夫らしい・・・・大丈夫。

念のためmsconfigのスタートアップ項目

これまた変化無し。

windowsフォルダに新しい作成日付や更新日付で作成されたファイルが無いか確認

異常なし

system32フォルダに新しい作成日付や(略

異常なしいい？

Security Toolの時にファイルが追加されていたフォルダ

C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\LocalService\Application Data\
C:\WINDOWS\Temp\

も確認してみたものの、特に新しく追加されたファイルは見あたらない。

どうにも困ったのでカスペルスキーをインストールしてスキャンをかけると

いっぱい見つける・・・もののやはり場所は全て

C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\(なんとかかんとか)\

てんぽらりフォルダ。

カスペルスキーでのスキャン結果

状態: 隔離しました (イベント: 3件)

2010/01/10 19:38:00 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\bbcode[1].js 高

2010/01/10 19:38:08 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\swf[1].js 高

2010/01/10 19:38:14 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\functions[1].js 高

状態: 削除しました (イベント: 32件)

2010/01/10 19:38:00 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewh C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\brand_policy[1] 高

2010/01/10 19:38:02 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\ent-apps_com[1].htm 高

2010/01/10 19:38:03 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\ent-apps[1] 高

2010/01/10 19:38:06 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\solinfy_fr[1].htm 高

2010/01/10 19:38:07 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\songserm.phrae1.go[1] 高

2010/01/10 19:38:07 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\songserm_phrae1_go_th[1].htm 高

2010/01/10 19:38:10 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\~pnw[1].htm 高

2010/01/10 19:38:10 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\354-1544-2-PB[1].doc 高

2010/01/10 19:38:11 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\alabaule[1] 高

2010/01/10 19:38:11 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\alabaule_com[1].htm 高

2010/01/10 19:38:12 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\anthropolog_ru[1].htm 高

2010/01/10 19:38:13 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\guidetoyou_com[1].htm 高

2010/01/10 19:38:15 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\indigoartiste_com[1].htm 高

2010/01/10 19:38:16 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\kowai.sub[1] 高

2010/01/10 19:38:17 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\labaulebeach_fr[1].htm 高

2010/01/10 19:38:21 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\www.solinfy[1] 高

2010/01/10 19:38:22 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.bb C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\beijing-business-solutions_com[1].htm 高

2010/01/10 19:38:22 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewh C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\brand_policy[1].htm 高

2010/01/10 19:38:24 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\index[1].php 高

2010/01/10 19:38:24 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\keino-hanabi_hp_infoseek_co_jp[1].htm 高

2010/01/10 19:38:25 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\labaulebeach[1] 高

2010/01/10 19:38:27 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\placesport_com[1] 高

2010/01/10 19:38:28 削除しました トロイの木馬 Exploit.Win32.Pidief.crv C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\service[1].pdf 高

2010/01/10 19:38:28 削除しました トロイの木馬 Exploit.Win32.Pidief.crv C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\service[2].pdf 高

2010/01/10 19:38:31 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\team3a[1] 高

2010/01/10 19:38:32 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\wwwsungmen[1].htm 高

2010/01/10 19:38:33 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\baggerdienst_com[1].htm 高

2010/01/10 19:38:33 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.bb C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\beijing-business-solutions[1] 高

2010/01/10 19:38:40 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\indigoartiste[1] 高

2010/01/10 19:38:41 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\kowai_sub_jp[1].htm 高

2010/01/10 19:38:43 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\mangakakouze_com[1].htm 高

2010/01/10 19:38:45 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\team3a_com[1].htm 高

テンポラリフォルダにウイルスの本体があるというパターン自体は無くもないでしょうけどそれにしたって起動時にブートされるようレジストリとかスタートアップフォルダに何か小細工する必要があると思うんですけど・・・その痕跡がないとは一体？

１．何らかの理由で感染活動が失敗した為、感染していない。

２．まだKasperskyも反応しない別の方法で正規ファイルに紛れているだけで実は感染している。

３．ウイルスが活動するのは改ざんされたサイトから読み込まれた時のみで、システムへ常駐するような感染活動は行わない。

４．ウイルスが活動しはじめてもそれ自体は感染活動を行わずいわば「待ち受け」のような状態で、外部から命令や実行ファイルが送られてきて初めて感染活動が行われる。で、今回は外部から命令が来る前に回線が切断されたり再接続によってIPアドレスが変わってしまったので感染活動が行われなかった。

ううーん・・・わからん・・・どういう事？

次回へ続く

カスペルスキー1年版

カスペルスキー2年版

ESET Smart Security

しょうゆうこと！