追記
8080系の記事に関して時系列順にまとめました。
お詫びとお知らせ(2010年1月17日)
本エントリーのタイトルや、本文中に「感染してみた」とか「感染した」とか「感染してる」とかありますが、このエントリーの時点では感染してません(いや実はわからない所にウイルスが潜んでいるのかもしれないんで断言はできませんが、多分・・・してません。)
エントリー自体削除しようかとも思ったんですが一応記録として残しておきます。
どういう事かは関連エントリーを順番に見て頂くとなんとなくわかると思うんですが
いわゆるGENO系ウイルス感染してみた - smilebanana
いわゆるGENO系ウイルス感染してみた2 - smilebanana
いわゆるGENO系ウイルス感染してみた3 改ざんされるのか - smilebanana
とりあえず本当に感染してたらこんな感じになるようです↓
いわゆるガンブラーに感染してみた4 「あ、感染した。」 - smilebanana
という事で、ウイルスバスターが無反応だったのも仕方ないといえば仕方ないのですが、よそのソフト(カスペルスキーやESET Smart Security)が脅威と検出している改ざんコードをスルーしてしまっているのはどうなのよ、とか思っちゃったりもします。
前回、脆弱性のある状態 + Microsoft Security Essentials(以下MSE)をインストールした状態で改ざんされたサイトへアクセスしたら、わーなんか感染しちゃったっぽいよわーわー
いわゆるGENO系ウイルス感染してみた - smilebanana
GENO系?Gumblar系?8080系?WEBサイト改ざん系?のウイルスにわざと感染してみました
とお伝えしたわけですが
今度は同じような環境でウイルスバスター2010をインストールして試してみたら
ウイルスバスターも無反応でした。
※前回の状態から引き続きやっているわけではなく、バックアップイメージより実験を行う前の状態に戻してから本実験を行っています。
また、接続はデータ通信カードを通じて行っている為、実験毎(接続毎)にアドレスが変わっています。
他数件の改ざんされたサイトへ行ってみたもののやはり無反応。
それからフルスキャンをかけてみると・・・
あーよかった、検出はしてくれた・・・・ってアレ・・・?Cookie・・・?
いや、Cookieじゃなくて・・・と、不安になったので、一度アンインストール後カスペルスキーをインストールしてスキャンをかけてみる・・・と。
カスペルスキーでのスキャン結果
状態: 削除しました (イベント: 5件)
2010/01/09 21:14:49 削除しました トロイの木馬 Trojan.JS.Agent.axe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\E26TGK6K\index-1[1].htm 高2010/01/09 21:14:50 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\JQR8FQ4Z\2711726[1] 高2010/01/09 21:14:50 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\N3KW57R6\index_02[1].htm 高2010/01/09 21:14:53 削除しました トロイの木馬 Trojan.JS.Iframe.hw
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\N3KW57R6\petardas[1] 高2010/01/09 21:15:46 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\2711726[1].htm 高状態: 隔離しました (イベント: 1件)
2010/01/09 21:15:50 隔離しました ウイルス HEUR:Trojan.Script.Generic
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\maxheight[1].js 高
やはりテンポラリフォルダから数件探し出してくる。
一度隔離(削除)されたファイルを復元してからカスペルスキーをアンインストール→ウイルスバスター2010をインストールしなおして
先程カスペルスキーが検出したファイルを直接スキャンさせてみるものの
高らかに安全を宣言される。
あてにならんなぁ、ウイルスバスター。
ちなみに同じファイルをコピーして私のメインPCで使っているESET Smart Securityでスキャンしたところ
こちらはきちんと反応してくれました。(っていうかUSBメモリからCドライブにコピーしようとしたら検出して勝手に削除された)
と、ここまでやって疑問が生まれる。
今回も一応レジストリのRunキーとかスタートアップフォルダに何か登録されていないか確認してみたんですが、何も追加されてなかったんですよねー。
という事は、一応感染は防げてるのか・・・?いやでもウイルスバスターのログ見ても活動したような痕跡はなかったから・・・ウイルス側が勝手にヘマやって感染に失敗しているのか・・・?
うーん・・・?
という事で
ノーガード戦法
脆弱性は今までのまま + ウイルス対策ソフト無し
OS | WindowsXP Pro SP3 |
WindowsUpdateは? | 1月9日までの重要な更新は適用済み |
IEのバージョンは? | 7.0.5730.13 |
ウイルス対策ソフトは? | なし |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
の状態で改ざんされたサイトを飛び回り、今度こそきっちり感染させて(?)一体何が起こるのか見てみたいと思います。
バックアップから実験を行う前の状態に戻した後、環境を整えて改ざんされているという情報のあるサイトを次から次へとちぎっては食べちぎっては食べ・・・。
途中、偽ウイルス対策ソフトをインストールさせられそうになったり。
っていうかこういうサイトにコードが埋め込まれてるのって絶対確信犯だと思うんですけど・・・。
で、そこそこ見て回ったのでセーフモードで起動して確認作業。
まずはレジストリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
左が実験前、右が実験後
困った事に変化無し。
続いてスタートアップフォルダ
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\
きっと「siszyd32.exe」が作成されているは・・ず・・・あれ・・・ない・・・・。
syszyd32.exe , ~TMD.tmp で検索をかけてみましたが、何も見つからない。
他にsqlsodbc.chmを改変するとかいう情報もあるみたいなので確認
サイズが50,727バイトだったら大丈夫らしい・・・・大丈夫。
念のためmsconfigのスタートアップ項目
これまた変化無し。
windowsフォルダに新しい作成日付や更新日付で作成されたファイルが無いか確認
異常なし
system32フォルダに新しい作成日付や(略
異常なしいい?
Security Toolの時にファイルが追加されていたフォルダ
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\LocalService\Application Data\
C:\WINDOWS\Temp\
も確認してみたものの、特に新しく追加されたファイルは見あたらない。
どうにも困ったのでカスペルスキーをインストールしてスキャンをかけると
いっぱい見つける・・・もののやはり場所は全て
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\(なんとかかんとか)\
てんぽらりフォルダ。
カスペルスキーでのスキャン結果
状態: 隔離しました (イベント: 3件)
2010/01/10 19:38:00 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\bbcode[1].js 高
2010/01/10 19:38:08 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\swf[1].js 高
2010/01/10 19:38:14 隔離しました ウイルス HEUR:Trojan.Script.Generic C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\functions[1].js 高
状態: 削除しました (イベント: 32件)
2010/01/10 19:38:00 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewh C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\brand_policy[1] 高
2010/01/10 19:38:02 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\ent-apps_com[1].htm 高
2010/01/10 19:38:03 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\ent-apps[1] 高
2010/01/10 19:38:06 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\solinfy_fr[1].htm 高
2010/01/10 19:38:07 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\songserm.phrae1.go[1] 高
2010/01/10 19:38:07 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\songserm_phrae1_go_th[1].htm 高
2010/01/10 19:38:10 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2VLTUNLK\~pnw[1].htm 高
2010/01/10 19:38:10 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\354-1544-2-PB[1].doc 高
2010/01/10 19:38:11 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\alabaule[1] 高
2010/01/10 19:38:11 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\alabaule_com[1].htm 高
2010/01/10 19:38:12 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\anthropolog_ru[1].htm 高
2010/01/10 19:38:13 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\guidetoyou_com[1].htm 高
2010/01/10 19:38:15 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\indigoartiste_com[1].htm 高
2010/01/10 19:38:16 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\kowai.sub[1] 高
2010/01/10 19:38:17 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\labaulebeach_fr[1].htm 高
2010/01/10 19:38:21 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5YFNAO2N\www.solinfy[1] 高
2010/01/10 19:38:22 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.bb C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\beijing-business-solutions_com[1].htm 高
2010/01/10 19:38:22 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewh C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\brand_policy[1].htm 高
2010/01/10 19:38:24 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\index[1].php 高
2010/01/10 19:38:24 削除しました トロイの木馬 Trojan.JS.Agent.axe C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\keino-hanabi_hp_infoseek_co_jp[1].htm 高
2010/01/10 19:38:25 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\labaulebeach[1] 高
2010/01/10 19:38:27 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\placesport_com[1] 高
2010/01/10 19:38:28 削除しました トロイの木馬 Exploit.Win32.Pidief.crv C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\service[1].pdf 高
2010/01/10 19:38:28 削除しました トロイの木馬 Exploit.Win32.Pidief.crv C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\service[2].pdf 高
2010/01/10 19:38:31 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\team3a[1] 高
2010/01/10 19:38:32 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\QN420NM9\wwwsungmen[1].htm 高
2010/01/10 19:38:33 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\baggerdienst_com[1].htm 高
2010/01/10 19:38:33 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.bb C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\beijing-business-solutions[1] 高
2010/01/10 19:38:40 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\indigoartiste[1] 高
2010/01/10 19:38:41 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\kowai_sub_jp[1].htm 高
2010/01/10 19:38:43 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\mangakakouze_com[1].htm 高
2010/01/10 19:38:45 削除しました トロイの木馬 Trojan-Clicker.JS.Iframe.cz C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\Y4K9VWH8\team3a_com[1].htm 高
テンポラリフォルダにウイルスの本体があるというパターン自体は無くもないでしょうけどそれにしたって起動時にブートされるようレジストリとかスタートアップフォルダに何か小細工する必要があると思うんですけど・・・その痕跡がないとは一体?
1.何らかの理由で感染活動が失敗した為、感染していない。
2.まだKasperskyも反応しない別の方法で正規ファイルに紛れているだけで実は感染している。
3.ウイルスが活動するのは改ざんされたサイトから読み込まれた時のみで、システムへ常駐するような感染活動は行わない。
4.ウイルスが活動しはじめてもそれ自体は感染活動を行わずいわば「待ち受け」のような状態で、外部から命令や実行ファイルが送られてきて初めて感染活動が行われる。で、今回は外部から命令が来る前に回線が切断されたり再接続によってIPアドレスが変わってしまったので感染活動が行われなかった。
ううーん・・・わからん・・・どういう事?
カスペルスキー1年版
カスペルスキー2年版
ESET Smart Security
しょうゆうこと!
Comments [2]
No.1匿名さん
http://blog.f-secure.jp/archives/50334036.html
2回DLはしないそうで
検出されたのは誘い出すJSの残骸ってとこでしょうか
No.2bananaさん
そんな感じでしょうか。
コメントする