追記
8080系の記事に関して時系列順にまとめました。
ウイルスセキュリティZEROは脆弱性がある状態でガンブラーによるウイルス感染を防ぐ事ができるのか!!
ガンブラー vs Spybot-S&D - smilebanana
なんかチンタラやってるので、後から試すソフトのほうが有利になってきてるんじゃねーのなんてツッコミを食らいそうですがだってしょうがないじゃない。
環境はこんな感じ
OS・WindowsUpdate | WindowsXP Pro SP3+2010/01/09までの重要な更新は適用済み からSP3をアンインストールした状態 |
IEのバージョンは? | 7.0.5730.13 → 6.0.2900.2180 |
ウイルス対策ソフトは? | ウイルスセキュリティ ZERO プログラムバージョン:10.0.0040 ウイルス定義ファイル:9.23.400 アップデートした以外設定は何もいじくってない状態 |
FlashPlayerのバージョンは? | わざわざ8.0.42.0をインストールしました |
AdobeReaderのバージョンは? | わざわざ7.1.0をインストールしました |
AdobeReaderのJavaScript設定は? | もちろん有効なままです。 |
JREのバージョンは? | 1.6.0_15 |
※前回の状態から引き続きやっているわけではなく、バックアップイメージより実験を行う前の状態に戻してから本実験を行っています。
また、接続はデータ通信カードを通じて行っている為、実験毎(接続毎)にアドレスが変わっています。
(いつまで経っても修正されない)いつもの改ざんされたサイトへアクセス。
埋め込まれているスクリプト
/*LGPL*/ try{ window.onload~ (ページの頭とお尻にダブルで埋め込まれているパターン)
リダイレクト先はどちらも:むにゃむにゃweb.ru:8080
怪しげなところへ飛ばされて食べたくもないjsを食べさせられ、見たくもないpdfを見せられ
メモリ使用量はもりもり上がっていき・・・あぁーこれはダメなパターンか・・・
と思いきや、なにやら検出。
それからしばらく待ってみましたが、例のコマンドプロンプト画面とかセキュリティの警告画面は表示されず。
この時点ではスタートアップフォルダやレジストリのRUNキーには変化なし。
Cドライブ全体のスキャンをかけても検出は無し。
再起動してセーフモードで確認してみる。
スタートアップフォルダを覗くと・・・
あっいつのまにっ
syszyd32.exeさんこんにちは
今度はハングルなんですね・・・。
レジストリのRunキーは変化無し。
とりあえずスタートアップフォルダのハングルは見なかった事にしてそのまま再起動してみる・・・すると。
おうっ?
あぁそういう機能もあるのか。
でもsyszyd32.exe自体は脅威だと思っていない・・・と。
ちなみにセキュリティZEROの活動ログはこちら
2010-1-20 23:08:52,SYSTEM,ウイルス自動検知,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\V0A1GB2J\win[1].jpg,Riskware ( 726d5ad60 ) を発見しました,隔離画面にバックアップが作成されました,削除するために再起動が必要です
2010-1-20 23:12:49,SYSTEM,ウイルス自動検知,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\3JHNAJQW\keyfe[1].htm,Trojan ( 90c64ac00 ) を発見しました,隔離画面にバックアップが作成されました,削除しました
2010-1-20 23:13:17,SYSTEM,ウイルス自動検知,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\3JHNAJQW\CA0HU79G.htm,Trojan ( 90c64ac00 ) を発見しました,隔離画面にバックアップが作成されました,削除しました
2010-1-20 23:15:44,SYSTEM,ウイルス自動検知,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\JQR8FQ4Z\cache[1].htm,Exploit ( 56deb5f70 ) を発見しました,隔離画面にバックアップが作成されました,削除しました
2010-1-20 23:17:49,SYSTEM,ウイルス自動検知,C:\Documents and Settings\user\Local Settings\Temp\index.htm,Trojan ( 90c64ac00 ) を発見しました,隔離画面にバックアップが作成されました,削除しました
結果
┝━━━┿━━━┿━━┿━━━┿━━┥
∩___∩ /) このへん?
| ノ ヽ ( i )))
/ ● ● | / /
| ( _●_) |ノ /
彡、 |∪| ,/
/_ _ヽノ /´
(___) /
なんせsyszyd32.exeが仕込まれてるようじゃぁダメですよねぇ。
ちなみにスタートアップのsyszyd32.exeをブロックしたからか、登録してあったFFFTPの接続先は改ざんされていません。
一応この後カスペルスキーをインストールしてスキャンをかけてみた
2010/01/21 19:48:58 駆除しました トロイの木馬 Trojan-Downloader.Java.Agent.al C:\Documents and Settings\user\Local Settings\Temp\jar_cache6753126713556947307.tmp 高
状態: 削除しました (イベント: 5件)
2010/01/21 19:48:58 削除しました トロイの木馬 Trojan-Downloader.Java.Agent.al C:\Documents and Settings\user\Local Settings\Temp\jar_cache6753126713556947307.tmp/myf/y/LoaderX.class 高
2010/01/21 19:51:35 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\8DH6XFRB\www.oygas[1] 高
2010/01/21 19:51:36 削除しました トロイの木馬 Trojan-Downloader.JS.Agent.ewo C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\8W1SKTJS\oygas[1].htm 高
2010/01/21 19:51:41 削除しました トロイの木馬 Exploit.JS.Pdfka.beg C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\V0A1GB2J\ChangeLog[1].pdf 高
2010/01/21 19:51:41 削除しました トロイの木馬 Exploit.JS.Pdfka.beg C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\V0A1GB2J\ChangeLog[1].pdf//data0000 高
状態: Windowsの再起動後に削除します (イベント: 1件)
2010/01/21 19:51:42 Windowsの再起動後に削除します ウイルス Net-Worm.Win32.Koobface.cwm C:\Documents and Settings\user\スタート メニュー\プログラム\スタートアップ\siszyd32.exe 高
私男だけどあのヒゲおじさんにならお尻掘られてもいいと思うの。
http://sec.sourcenext.info/
> お知らせ
> 流行中のウイルス「Gumblar(ガンブラー)」とその亜種にすでに対応しています。> 最新版にアップデートされているかをご確認ください。(2010.01.08)
あれ?
え?ちょっとよく聞こえない
ソースネクストは4年前に広まったWMFのゼロデイの時にも
ろくに対応しないまま「対応済み」を謳った前科がありましたねw
http://www.smilebanana.com/archives/2010/01/21-2317.php
でも、AVG 2011 が反応しました。隔離はできませんでした。なんかへんなものが住み着いているみたいです。正体は私にはわかりません。
ど素人なもので。。。
AVG Anti-Virus Free Edition 2011をインストールして試してみましたがこのページは無反応ですね。
一応VirusTotalでも検査してみましたが、検出無しでした。
http://www.virustotal.com/file-scan/report.html?id=14e33bcdc3125c58845b2093f47c40225c86701ee1271e280aee3c93d14ce0b5-1286467250
このページ自体に問題は無いと思います。
わざわざ調べていただいて、恐縮です。
私の AVG 2011 では、Firefox のキャシュに有ると出ました。
どうも、検知の動作に不信を覚えたので、今日、別のに変えました。
二ページで、同じ動作をしました。
どうも、狂っていたようですね。ひと安心しました。
ちなみに、パンダでは、全く反応しませんでした。
お騒がせしました。AVG はろくなソフトではないようです。
多分、js をご検知したのでしょう。もう消しましたので、さかのぼって調べることができません。そこが後悔の残るところです。、
確か、高度な処理は不能とか何とか、出てましたよ。そして、隔離室で、マークが赤くなっていました。それしか、今は覚えていません。
パンダのクラウドは、どのくらいのものなのか、実験を希望しておきます。あまりに軽いので、何もしていないようなんですが。。。では、、、失礼します。
狂っていたとかろくなソフトではないとかいう判断をするのは早計な判断かと思いますがちょっとAVGは過剰反応すぎるという気がしないでもないです。
パンダは・・・どうなんでしょうね。また機会があったら見てみます。