/*追記*/
8080系の記事に関して時系列順にまとめました。
8080系(いわゆるガンブラー系)記事のまとめ - smilebanana
/*追記ここまで*/
を踏まえて。
ウイルスバスター2010(体験版)はガンブラーによるウイルス感染(という表現でいいのか)を防ぐ事ができるのか!!
前回の実験では、改ざんされたページの怪しげなスクリプトを華麗にスルーしたウイルスバスターさんですが
あれから6日。
今もなおスルーするのか!
あと前回の実験では試せなかった、ウイルス本体のダウンロードや実行を止める事ができるのかー!
環境はこんな感じ
OS・WindowsUpdate | WindowsXP Pro SP3+2010/01/09までの重要な更新は適用済み からSP3をアンインストールした状態 |
IEのバージョンは? | 7.0.5730.13 → 6.0.2900.2180 |
ウイルス対策ソフトは? | ウイルスバスター2010(体験版) パターンファイル:6.773.50 アップデートした以外設定は何もいじくってない状態 |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
※前回の状態から引き続きやっているわけではなく、バックアップイメージより実験を行う前の状態に戻してから本実験を行っています。
また、接続はデータ通信カードを通じて行っている為、実験毎(接続毎)にアドレスが変わっています。
ついでにFFFTPをインストールして設定しときました。
さて、いってみまっしょー
改ざんされたサイトその1
埋め込まれているスクリプト
/*LGPL*/ try{ window.onload~ (ページの頭とお尻にダブルで埋め込まれているパターン)
リダイレクト先はどちらも:thechoむにゃむにゃ.ru:8080
ダーン!
はい無反応ゥー!
ん?でも待てよ?
アクセスしてすぐこの「ページでエラーが発生しました。」って出るのは、改ざんされたページへ2回目以降アクセスした時の感じなんですよね。(例の『同じIPからの2回目以降のアクセスは404を返す』とかなんとかっていうやつのせい?)
でも今回は接続して1発目のアクセスなんだなぁ。
一応しばらく待ってみるものの、例のコマンドプロンプトとかセキュリティの警告は出てこない。
という事で別のサイトへ
改ざんされたサイトその2
埋め込まれているスクリプト
/*LGPL*/ try{ window.onload~
リダイレクト先:webdむにゃむにゃ.ru:8080
無反応ぅー
しかしやはり「ページでエラーが発生しました。」が表示される。
しばらく待っても感染のサインはでなーい。
念のため、一旦回線の切断→接続を行ってIPアドレスを変更してもう一回アクセスしてみるものの変化なし。
結果
なんだかわからないけど感染は防いでくれるらしい。
セーフモードで起動してスタートアップフォルダやRunキーを確認しましたが、大丈夫でした。
FFFTPに設定してあるサイトの改ざんも行われていません。
調べる
セーフモードで起動したついでに、ウイルスバスターでスキャンをかけてみようと思ってウイルスバスター起動。
そしたらメイン画面が表示されるずにいきなりスキャンが始まる。
あぁ、セーフモードの状態で起動しようとするとそういう挙動するんだ。という事でしばらく待つ。
お、何か見つけてきた。
ってそれはノーガード戦法で試した時のキャッシュデータを別ドライブに保存しといたやつですね・・・。(他2つも同様)
そっちは見つけてくるのに、なぜCドライブのテンポラリフォルダからは見つけてこない・・・。
再起動してからC:\Documents and Settings\の検索をさせてみました。
1件だけ見つけてきた。(Content.IE5の中にあった改ざんされたサイト2のキャッシュデータ)
さらに、ウイルスバスターのログを確認してみました。
ウイルス検索のログ
20:28 手動検索 JS_AGENT.AVSW NONAMEFL (C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\mangakakouze[1]) 隔離されました。
20:28 手動検索 --- C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\mangakakouze[1] 隔離されました。
19:07 リアルタイム検索 JS_AGENT.AVSW C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\G5X9CKNQ\mangakakouze[1].htm 隔離されました。
19:04 リアルタイム検索 ファイル JS_AGENT.AVSW C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\XC8I64E6\mangakakouze[1].htm 隔離されました。
改ざんされたサイト2のほうはリアルタイム検索で検出されていたらしい。(そのわりにはスクリプトは動いていたように思えますが)(っていうかウイルス検出した時くらいは何かメッセージ表示してくれよ)
さて、このログだけを見ると改ざんされたサイト1へアクセスした時、ウイルスバスターは何も検出しなかったようです。
じゃあなんで感染しなかったの?
という事で他のログを確認すると・・・
フィッシング詐欺対策のログ
19:07 http://むにゃむにゃ.ru:8080/むにゃむにゃ/ このWebサイトは安全でない可能性があります。このWebサイトにはスパイウェアや不正プログラムが存在しているか、またはこのWebサイトは偽のWebサイトか、安全性が非常に低いと評価されているWebサイトです。
19:04 http:/むにゃむにゃ.ru:8080/むにゃむにゃ/ このWebサイトは安全でない可能性があります。このWebサイトにはスパイウェアや不正プログラムが存在しているか、またはこのWebサイトは偽のWebサイトか、安全性が非常に低いと評価されているWebサイトです。
19:03 http://むにゃむにゃ.ru:8080/むにゃむにゃ/ このWebサイトは安全でない可能性があります。このWebサイトにはスパイウェアや不正プログラムが存在しているか、またはこのWebサイトは偽のWebサイトか、安全性が非常に低いと評価されているWebサイトです。
フィッシング詐欺対策機能のほうで、リダイレクト先のURLがブロックされてました。
だから1回目のアクセスなのにリダイレクト先から404が返ってきた時と同じ「ページでエラーが発生しました。」が表示されてたんですね。
そっか!スクリプトの実行をスルーしたとしてもウイルスのダウンロードを防いでくれるのなら安心だね!
よかったね!
でもこれ、どういう基準で判断してるんだろうね!
リダイレクト先が *.cn:8080 とかに変わったらあっさりスルーしちゃったり・・・しないよね!!
まさかね!
このじっけんの内容を元にあなたが何かをして(あるいはしなくて)あなたのパソコンにふぐあいがおきたとしてもわたしは一切責任を取りません。
はじめまして。
ウイルスバスターの華麗なスルーっぷりに思わず笑ってしまいましたが・・・
先日、知り合いのサイトが8080に改ざんされているのを発見しました。
全く笑えない話です。
話を聞いてみると、PCにはウイルスバスター2008がインストールされていたようです。
完全スルーだったみたいです。トレンドマイクロめ・・・
あ、ちなみにウチのavastは未だにスルーしてくれます。
ウイルスバスター2008は、2009/12/31でサポート切れとなってます。
それ以降、パターン更新はできるがウイルスを検知するかは不明です。
契約更新をしていたのか謎ですが、していたにしても右下にはしつこく「サポート終了したよ!新しいバージョンに更新して!」みたいな表示が出ていただろうと思いますのでそれを無視して2008を使い続けていた側にも多少の非はあると思いまうす。(多分
ただ悲しいかな2010に更新していたとしても、8080系が流行り始めた頃に感染を防いでくれていたかと言うとちょっとアレがソレなわけですが。