8080系の記事に関して時系列順にまとめました。
とりあえずわーわー騒いだ前々回
よくわからなくなってきた前回
巷で言われるようなsiszyd32.exeとか~TMD.tmpとかが作成されない。
レジストリのRunキーも変わらない。
これは本当に感染してるの?それともしてないの?
もうよくわからない。
「感染してみた」とか言ってるけどここへきてそれもが怪しくなってきた。
という事で実際にサイトが改ざんされるのか試してみました。
※前回の状態から引き続きやっているわけではなく、バックアップイメージより実験を行う前の状態に戻してから本実験を行っています。
また、接続はデータ通信カードを通じて行っている為、実験毎(接続毎)にアドレスが変わっています。
まず適当な無料ホームページスペースを貸してくれるサービスに登録して・・・って最近はブログばっかでホームページスペースを貸してくれるサービスって少なくなったのね・・・。
まぁとにかくレンタルしてきて
FFFTPをインストールして接続情報を登録。
てっきとーなindexページだけ作成。
で、そのページが改ざんされるかどうか
このへんのサイトを利用して、別のパソコンからチェックします。
ということで、生贄PCでは改ざんされたサイトをちぎっては食べ、ちぎっては食べ・・・。
と言っても、「スクリプトの一部」で検索して出てくるようなサイトはほとんどが修正されてるか削除されてて、なかなかウイルスを植え付けてくれるサイトにたどり着けない・・・。
けどそれでもたまに見つかる改ざんされたサイトをここぞとばかりに食べる。
たまに接続を一回切断→接続しなおしてIPアドレスを変更しつつちぎっては食べる。
そのアドレス変更を利用して、念入りに同じサイトで2回食べたりする。(多分意味ないけど)
で、様子見てたんですが
ちっとも変化無し。
ちなみに改ざんされて怪しげなスクリプトが埋め込まれたサイトだとそれぞれ
こんな風に表示されるみたいです。
アップロードしたファイルのタイムスタンプを見ても変化無し。
うーむこれはやっぱりウイルスが上手く活動できてないという方向で考えたほうがいいのか・・・?
こういう言い方が正しいのかどうかわかりませんけど、「脆弱性が足りてない」のかな?
生贄PCの環境を確認しておきますと
OS | WindowsXP Pro SP3 |
WindowsUpdateは? | 1月9日までの重要な更新は適用済み |
IEのバージョンは? | 7.0.5730.13 |
ウイルス対策ソフトは? | なし |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
こんな感じなんですが、どこかウイルスさんが快適に活動するために邪魔なものがあるのかなー。
ウイルスさんもなかなか気難しいなー。
・・・とか言ってたら、まだ誰にも気付かれてない方法で潜んでたりして・・・。
コメントする