いわゆるガンブラーに感染してみた4 「あ、感染した。」

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

GENO系とか8080系とかなんやかんや言うよりわかりやすそうなのでガンブラー(Gumblar)にタイトル変更しました。

ところでみんなもちろんAdobe Readerのアップデートは行ったよね?(アップデートのやり方)

さて、今まで色々試してきたもののイマイチ「感染した!!」と言い切れるような状態へ至らなかったこのシリーズ

いわゆるGENO系ウイルス感染してみた - smilebanana

いわゆるGENO系ウイルス感染してみた2 - smilebanana

いわゆるGENO系ウイルス感染してみた3 改ざんされるのか - smilebanana

なんとなく閃いたので、生贄PCにインストールされていたWindowsXPのSP3を削除してみました。

という事で環境はこんな感じ

OS・WindowsUpdate

WindowsXP Pro SP3+2010/01/09までの重要な更新は適用済み

からSP3をアンインストールした状態

IEのバージョンは?

7.0.5730.13 → 6.0.2900.2180

ウイルス対策ソフトは?

なし

FlashPlayerのバージョンは?

わざわざ8.0.42.0をインストールしました

AdobeReaderのバージョンは?

わざわざ7.1.0をインストールしました

AdobeReaderのJavaScript設定は?

もちろん有効なままです。

JREのバージョンは?

1.6.0_15

 

「ま、でもどうせダメなんだろうなー」とか思いながらいつもの如く改ざんされたサイトへアクセスすると・・・

おっ?なんか今までになかった反応。なんじゃこりゃ。

C:\WINDOWS\system32\netsh.exe とタイトルバーに書かれたコマンドプロンプトが表示されて

~TM19とかいう名前のプログラムをブロックするかどうか聞いてきてる。

ちなみにこの時飛ばされたのは なんとかかんとかwebdirectbroker.ru:8080/


しばらく様子を見ていたらIEが強制終了される。CPU使用率はMAX状態。HDDが超ガリガリ言ってる。

おおおっそしてSTOPエラー (普通の環境だとこの画面を見ることなく強制再起動されると思います。)

そしてこれ以後は再起動してもWindowsが起動した瞬間STOPエラーが表示される状態に。

エラーの内容は

0x0000008E(0xC0000005, 0x7AFB2FE8, 0xEE94D95C, 0x00000000)

だったり

0x00000050(0xD7632FE8, 0x00000008, 0xD7632FE8, 0x00000000)

だったり。

SecurityToolが表示するという噂の「なんちゃってSTOPエラー画面」ではありません。

でもアレ?起動しなくなっちゃうんじゃFTPの情報抜いたりできないじゃん。結局意味ないじゃん。という謎はとりあえず置いといて。

セーフモードで起動して色々確認します。

syszyd32.exe

C:\Documents and Settings\user\スタート メニュー\プログラム\スタートアップ を確認

出ましたsyszyd32.exe

やっぱりきっちり感染すると登録されるようです。

プロパティを確認。

作成日時と更新日時、あとアイコンとかファイルの説明が偽装されてる・・・。

Adobe製品の脆弱性を利用しながら、Adobeを騙るとはなんとも洒落の効いた・・・。

ちなみにこの後、バックアップから復元してもう一回感染させてみたんですが

その時飛ばされたのは なんとかかんとかthechocolateweb.ru:8080/ (1回目とは別のドメイン)

今度はアイコンがhpに。なのに説明はなぜかMedia Player Classic。

もしかしたら偽装にも何パターンかあるのかもしれません。

ただ 作成日時:2009年4月1日 19:58:21 更新日時2004年8月4日 0:56:02 っていうのは決まってるのかなー

レジストリ

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

出ましたsysgif32 REG_SZ C:\WINDOWS\TEMP\~TM31.tmp

これまたきっちり感染すると登録されるようです。

C:\WINDOWS\Temp

出ました~TM31.tmp から ~TM33.tmp それから_ex-68.exe

・・・・・ん?

_ex-68.exe・・・・?それにこのアイコンはなんか見た事があるような・・・

つい出来心で_ex-68.exeをダブルクリックしちゃう。

「よかったのか ホイホイ実行しちまって。
 俺はセーフモードだってかまわないで食っちまうマルウェアなんだぜ」
という声が聞こえた気がした。

Security Tool successfully installed!

あれ?

あれ?

SecurityToolさんこんにちは。またお会いしましたね

そして早速ですけどさようなら。

まとめ

どうやら、いわゆるガンブラー(8080系ウイルス・シマンテック的に言えば「ガンブラーで感染するウイルス」?)は

Adobe製品の脆弱性だけじゃなくてOSかIE絡みの脆弱性が両方ある時に本格的に感染するらしい。

OSあるいはIE絡みについてどの脆弱性を利用しているのか・・・は・・・まぁSP3を削除したらあっけなく感染したという事は

Windows XP Service Pack 3 に含まれる修正の一覧

この中のどれかなんでしょう。多分。

Gumblar.xの時は

・MS09-043(KB947319)
・MS09-002(KB961260)

この二つの脆弱性を悪用しているんじゃないかという話があったようですが

・MS09-043 → Microsoft Office Web Components → そもそも生贄PCにはoffice入ってない。
・MS09-002 → Internet Exploreの脆弱性 → 該当する修正プログラムをアンインストールして試してみたけど感染しなかった。

という事で今回はまた違った脆弱性を悪用しているようです。

まぁ

             /)
           ///)
          /,.=゙''"/   
   /     i f ,.r='"-‐'つ____   こまけぇこたぁいーんだよー
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |

 

ようやく本当に「感染する」という事がわかったので、この状態に各ウイルス対策ソフトを入れてみて感染を防ぐ事ができるのか試してみたいと思います。

今のところ予定としては

前々回不名誉な感じに終わったウイルスバスター2010

・ウイルスセキュリティZERO

・MSE

の3本でお送りしまーすする予定でーす。

難読化してあるスクリプトが挿入されたhtmlファイルを見つけた時点でガシガシ検出して削除するようなカスペルスキー・ESET Smart Securityは試さなくてもなんとなく結果がわかるからいいかな・・・

次回へ続く

このじっけんの内容を元にあなたが何かをして(あるいはしなくて)あなたのパソコンにふぐあいがおきたとしてもわたしは一切責任を取りません。

Comments [4]

No.1

前にこれではない〇ウェア踏まされて
四苦八苦した覚えがあります。

で、その際にこれも検証の一つに加えて貰えると嬉しいなぁ
(Spybotというフリーソフト)
http://www.safer-networking.org/jp/index.html

No.2

ダメくせぇけどやってみます。

No.3

とても貴重な情報、ありがたく拝見させていただいています。

素人風情がこんなことをいうのもアレなのですが、Gumblar(8080)が利用しているのは

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
|JRE 6 Update 10 and earlier;
|JDK and JRE 5.0 Update 16 and earlier; and SDK and
|JRE 1.4.2_18 and earlier

ということらしいので、JRE 1.6.0_15は生贄用にはふさわしくないように思います。

今度テストされる機会がありましたら、JRE 1.6.0_10以前を使っていただけるとありがたいです。

No.4

>puppetさん
こちらこそ貴重な情報ありがとうございます。
1.6.0_10ですか・・・
実はgnomeさんのところからも
MS08-041・MS09-037
的なテレパシーを受信しており
生贄PCの環境見直しと再実験をやろうかなとか色々思いつつもここへ来て仕事が急激に忙しくなり始めたりして
まぁ、「こまけぇこたぁいーんだよー」精神でボチボチやってみます。

コメントする

公開されません

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

このブログについて

  • bananaのブログです。
  • 連絡その他は

    まで。

サイト内検索

最近のコメント

月別アーカイブ

  1. 2019年8月 [1]
  2. 2018年1月 [1]
  3. 2017年1月 [1]
  4. 2016年11月 [1]
  5. 2016年10月 [1]
  6. 2016年6月 [1]
  7. 2016年5月 [2]
  8. 2016年4月 [1]
  9. 2016年2月 [2]
  10. 2016年1月 [4]
  11. 2015年12月 [2]
  12. 2015年11月 [1]
  13. 2015年10月 [3]
  14. 2015年9月 [4]
  15. 2015年8月 [17]
  16. 2015年7月 [13]
  17. 2015年6月 [19]
  18. 2015年5月 [22]
  19. 2015年4月 [21]
  20. 2015年3月 [23]
  21. 2015年2月 [22]
  22. 2015年1月 [28]
  23. 2014年12月 [27]
  24. 2014年11月 [24]
  25. 2014年10月 [21]
  26. 2014年9月 [19]
  27. 2014年8月 [8]
  28. 2014年7月 [24]
  29. 2014年6月 [25]
  30. 2014年5月 [24]
  31. 2014年4月 [23]
  32. 2014年3月 [27]
  33. 2014年2月 [25]
  34. 2014年1月 [28]
  35. 2013年12月 [30]
  36. 2013年11月 [24]
  37. 2013年10月 [27]
  38. 2013年9月 [25]
  39. 2013年8月 [26]
  40. 2013年7月 [29]
  41. 2013年6月 [30]
  42. 2013年5月 [25]
  43. 2013年4月 [28]
  44. 2013年3月 [30]
  45. 2013年2月 [28]
  46. 2013年1月 [30]
  47. 2012年12月 [27]
  48. 2012年11月 [22]
  49. 2012年10月 [25]
  50. 2012年9月 [30]
  51. 2012年8月 [31]
  52. 2012年7月 [30]
  53. 2012年6月 [30]
  54. 2012年5月 [28]
  55. 2012年4月 [30]
  56. 2012年3月 [31]
  57. 2012年2月 [28]
  58. 2012年1月 [31]
  59. 2011年12月 [30]
  60. 2011年11月 [30]
  61. 2011年10月 [31]
  62. 2011年9月 [30]
  63. 2011年8月 [28]
  64. 2011年7月 [30]
  65. 2011年6月 [30]
  66. 2011年5月 [31]
  67. 2011年4月 [28]
  68. 2011年3月 [31]
  69. 2011年2月 [28]
  70. 2011年1月 [29]
  71. 2010年12月 [29]
  72. 2010年11月 [30]
  73. 2010年10月 [31]
  74. 2010年9月 [30]
  75. 2010年8月 [31]
  76. 2010年7月 [29]
  77. 2010年6月 [29]
  78. 2010年5月 [30]
  79. 2010年4月 [28]
  80. 2010年3月 [31]
  81. 2010年2月 [28]
  82. 2010年1月 [35]
  83. 2009年12月 [30]
  84. 2009年11月 [29]
  85. 2009年10月 [32]
  86. 2009年9月 [29]
  87. 2009年8月 [31]
  88. 2009年7月 [31]
  89. 2009年6月 [30]
  90. 2009年5月 [30]
  91. 2009年4月 [30]
  92. 2009年3月 [30]
  93. 2009年2月 [28]
  94. 2009年1月 [31]
  95. 2008年12月 [31]
  96. 2008年11月 [31]
  97. 2008年10月 [30]
  98. 2008年9月 [31]
  99. 2008年8月 [30]
  100. 2008年7月 [32]
  101. 2008年6月 [30]
  102. 2008年5月 [31]
  103. 2008年4月 [30]
  104. 2008年3月 [31]
  105. 2008年2月 [30]
  106. 2008年1月 [27]
  107. 2007年12月 [31]
  108. 2007年11月 [28]
  109. 2007年10月 [29]
  110. 2007年9月 [29]
  111. 2007年8月 [31]
  112. 2007年7月 [30]
  113. 2007年6月 [30]
  114. 2007年5月 [31]
  115. 2007年4月 [29]
  116. 2007年3月 [31]
  117. 2007年2月 [28]
  118. 2007年1月 [33]
  119. 2006年12月 [30]
  120. 2006年11月 [30]
  121. 2006年10月 [31]
  122. 2006年9月 [30]
  123. 2006年8月 [32]
  124. 2006年7月 [33]
  125. 2006年6月 [28]
  126. 2006年5月 [32]
  127. 2006年4月 [32]
  128. 2006年3月 [33]
  129. 2006年2月 [29]
  130. 2006年1月 [32]
  131. 2005年12月 [32]
  132. 2005年11月 [35]
  133. 2005年10月 [37]
  134. 2005年9月 [36]
  135. 2005年8月 [34]
  136. 2005年7月 [38]
  137. 2005年6月 [34]
  138. 2005年5月 [40]
  139. 2005年4月 [36]
  140. 2005年3月 [33]
  141. 2005年2月 [36]
  142. 2005年1月 [33]
  143. 2004年12月 [42]
  144. 2004年11月 [41]
  145. 2004年10月 [16]