追記
8080系の記事に関して時系列順にまとめました。
GENO系とか8080系とかなんやかんや言うよりわかりやすそうなのでガンブラー(Gumblar)にタイトル変更しました。
ところでみんなもちろんAdobe Readerのアップデートは行ったよね?(アップデートのやり方)
さて、今まで色々試してきたもののイマイチ「感染した!!」と言い切れるような状態へ至らなかったこのシリーズ
いわゆるGENO系ウイルス感染してみた - smilebanana
なんとなく閃いたので、生贄PCにインストールされていたWindowsXPのSP3を削除してみました。
という事で環境はこんな感じ
OS・WindowsUpdate | WindowsXP Pro SP3+2010/01/09までの重要な更新は適用済み からSP3をアンインストールした状態 |
IEのバージョンは? | 7.0.5730.13 → 6.0.2900.2180 |
ウイルス対策ソフトは? | なし |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
「ま、でもどうせダメなんだろうなー」とか思いながらいつもの如く改ざんされたサイトへアクセスすると・・・
おっ?なんか今までになかった反応。なんじゃこりゃ。
C:\WINDOWS\system32\netsh.exe とタイトルバーに書かれたコマンドプロンプトが表示されて
~TM19とかいう名前のプログラムをブロックするかどうか聞いてきてる。
ちなみにこの時飛ばされたのは なんとかかんとかwebdirectbroker.ru:8080/
しばらく様子を見ていたらIEが強制終了される。CPU使用率はMAX状態。HDDが超ガリガリ言ってる。
おおおっそしてSTOPエラー (普通の環境だとこの画面を見ることなく強制再起動されると思います。)
そしてこれ以後は再起動してもWindowsが起動した瞬間STOPエラーが表示される状態に。
エラーの内容は
0x0000008E(0xC0000005, 0x7AFB2FE8, 0xEE94D95C, 0x00000000)
だったり
0x00000050(0xD7632FE8, 0x00000008, 0xD7632FE8, 0x00000000)
だったり。
SecurityToolが表示するという噂の「なんちゃってSTOPエラー画面」ではありません。
でもアレ?起動しなくなっちゃうんじゃFTPの情報抜いたりできないじゃん。結局意味ないじゃん。という謎はとりあえず置いといて。
セーフモードで起動して色々確認します。
syszyd32.exe
C:\Documents and Settings\user\スタート メニュー\プログラム\スタートアップ を確認
出ましたsyszyd32.exe
やっぱりきっちり感染すると登録されるようです。
プロパティを確認。
作成日時と更新日時、あとアイコンとかファイルの説明が偽装されてる・・・。
Adobe製品の脆弱性を利用しながら、Adobeを騙るとはなんとも洒落の効いた・・・。
ちなみにこの後、バックアップから復元してもう一回感染させてみたんですが
その時飛ばされたのは なんとかかんとかthechocolateweb.ru:8080/ (1回目とは別のドメイン)
今度はアイコンがhpに。なのに説明はなぜかMedia Player Classic。
もしかしたら偽装にも何パターンかあるのかもしれません。
ただ 作成日時:2009年4月1日 19:58:21 更新日時2004年8月4日 0:56:02 っていうのは決まってるのかなー
レジストリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
出ましたsysgif32 REG_SZ C:\WINDOWS\TEMP\~TM31.tmp
これまたきっちり感染すると登録されるようです。
C:\WINDOWS\Temp
出ました~TM31.tmp から ~TM33.tmp それから_ex-68.exe
・・・・・ん?
_ex-68.exe・・・・?それにこのアイコンはなんか見た事があるような・・・
つい出来心で_ex-68.exeをダブルクリックしちゃう。
「よかったのか ホイホイ実行しちまって。
俺はセーフモードだってかまわないで食っちまうマルウェアなんだぜ」
という声が聞こえた気がした。
あれ?
あれ?
SecurityToolさんこんにちは。またお会いしましたね。
そして早速ですけどさようなら。
まとめ
どうやら、いわゆるガンブラー(8080系ウイルス・シマンテック的に言えば「ガンブラーで感染するウイルス」?)は
Adobe製品の脆弱性だけじゃなくてOSかIE絡みの脆弱性が両方ある時に本格的に感染するらしい。
OSあるいはIE絡みについてどの脆弱性を利用しているのか・・・は・・・まぁSP3を削除したらあっけなく感染したという事は
この中のどれかなんでしょう。多分。
Gumblar.xの時は
・MS09-043(KB947319)
・MS09-002(KB961260)この二つの脆弱性を悪用しているんじゃないかという話があったようですが
・MS09-043 → Microsoft Office Web Components → そもそも生贄PCにはoffice入ってない。
・MS09-002 → Internet Exploreの脆弱性 → 該当する修正プログラムをアンインストールして試してみたけど感染しなかった。という事で今回はまた違った脆弱性を悪用しているようです。
まぁ
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ こまけぇこたぁいーんだよー
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
ようやく本当に「感染する」という事がわかったので、この状態に各ウイルス対策ソフトを入れてみて感染を防ぐ事ができるのか試してみたいと思います。
今のところ予定としては
・前々回不名誉な感じに終わったウイルスバスター2010
・ウイルスセキュリティZERO
・MSE
の3本でお送りしまーすする予定でーす。
難読化してあるスクリプトが挿入されたhtmlファイルを見つけた時点でガシガシ検出して削除するようなカスペルスキー・ESET Smart Securityは試さなくてもなんとなく結果がわかるからいいかな・・・
このじっけんの内容を元にあなたが何かをして(あるいはしなくて)あなたのパソコンにふぐあいがおきたとしてもわたしは一切責任を取りません。
前にこれではない〇ウェア踏まされて
四苦八苦した覚えがあります。
で、その際にこれも検証の一つに加えて貰えると嬉しいなぁ
(Spybotというフリーソフト)
http://www.safer-networking.org/jp/index.html
ダメくせぇけどやってみます。
とても貴重な情報、ありがたく拝見させていただいています。
素人風情がこんなことをいうのもアレなのですが、Gumblar(8080)が利用しているのは
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
|JRE 6 Update 10 and earlier;
|JDK and JRE 5.0 Update 16 and earlier; and SDK and
|JRE 1.4.2_18 and earlier
ということらしいので、JRE 1.6.0_15は生贄用にはふさわしくないように思います。
今度テストされる機会がありましたら、JRE 1.6.0_10以前を使っていただけるとありがたいです。
>puppetさん
こちらこそ貴重な情報ありがとうございます。
1.6.0_10ですか・・・
実はgnomeさんのところからも
MS08-041・MS09-037
的なテレパシーを受信しており
生贄PCの環境見直しと再実験をやろうかなとか色々思いつつもここへ来て仕事が急激に忙しくなり始めたりして
まぁ、「こまけぇこたぁいーんだよー」精神でボチボチやってみます。