ガンブラー 感染動画2の詳細

追記(2010年2月 3日)

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

Cドライブのファイル増減と追加/変更されたレジストリの値など


Cドライブのファイル増減

Temporary Internet Filesフォルダ・Prefetchフォルダ・Historyフォルダ・Cookiesフォルダは除外

あからさま怪しそうなのは色を変えております

追加 2004/8/5 21:00 Documents and Settings\user\スタート メニュー\プログラム\スタートアップ\wwwpos32.exe
追加 2010/1/30 22:11 Documents and Settings\user\Application Data\Sun\Java\Deployment\ext\
追加 2010/1/30 22:11 Documents and Settings\user\Application Data\Sun\Java\Deployment\log\
追加 2010/1/30 22:11 Documents and Settings\user\Application Data\Sun\Java\Deployment\security\
追加 2010/1/30 22:11 WINDOWS\Sun\
追加 2010/1/30 22:11 WINDOWS\Sun\Java\
追加 2010/1/30 22:11 WINDOWS\Sun\Java\Deployment\
追加 2010/1/30 22:11 Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\tmp\
追加 2010/1/30 22:11 Documents and Settings\NetworkService\Application Data\anvkgp.dat
追加 2010/1/30 22:11 Documents and Settings\user\Local Settings\Temp\jar_cache33902.tmp
追加 2010/1/30 22:12 Documents and Settings\user\Application Data\avdrn.dat
追加 2010/1/30 22:14 Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\S-1-5-18\6d14e4b1d8ca773bab785d1be032546e_3ee79c3c-47e8-4fe1-989e-528efcdf1e6b
追加 2010/1/30 22:26 WINDOWS\system32\config\systemprofile\Application Data\anvkgp.dat
追加 2010/1/30 22:26 WINDOWS\Temp\~TMD.tmp
追加 2010/1/30 22:27 Documents and Settings\All Users\Application Data\41561623\
追加 2010/1/30 22:27 Documents and Settings\All Users\Application Data\41561623\41561623.exe

追加 2010/1/30 22:27 WINDOWS\Temp\_ex-08.exe
追加 2010/1/30 22:27 Documents and Settings\user\デスクトップ\Security Tool.lnk
追加 2010/1/30 22:27 WINDOWS\system32\config\systemprofile\スタート メニュー\プログラム\Security Tool.lnk

追加 2010/1/30 22:29 WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Internet Explorer\
追加 2010/1/30 22:29 WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT
追加 2010/1/31 14:47 Documents and Settings\user\Local Settings\Temp\~DFE176.tmp
追加 2010/1/31 14:47 WINDOWS\system32\drivers\zcgqju.sys

追加/変更されたレジストリの値

ウイルス関係なく変更される値がいっぱいあるみたいで全部はのせられないのでこちらは怪しげな部分だけ。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"41561623"="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\41561623\\41561623.exe"
"CTFMON"="C:\\WINDOWS\\Temp\\_ex-08.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZCGQJU\0000]
"Service"="zcgqju"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="zcgqju"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZCGQJU\0000\Control]
"ActiveService"="zcgqju"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZCGQJU]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZCGQJU\0000]
"Service"="zcgqju"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="zcgqju"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZCGQJU\0000]
"Service"="zcgqju"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="zcgqju"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZCGQJU\0000\Control]
"ActiveService"="zcgqju"

FFFTP

NON (2010年1月29日 23:45)

そういえば、FFFTPで「設定をINIファイルに保存」を使った場合はどうなるんでしょう?レジストリ嫌いでINI保存設定で使ってるんですが…

こんなコメントがあったので、今回はFFFTPの「設定をレジストリでなくINIファイルに保存する」を有効にしてみました。

ちなみに、この設定を有効にしただけでは

既にレジストリへ登録されている情報は消されないようなので、こっちを手動で削除しとかないと意味がなさそうです。

と、そんな感じで感染してみたわけですが、今の所は改ざんされていません。

(ちなみに今回も前回(改ざんされた時)もウイルスに感染してからはFFFTPの起動すらしていません)

今までの経験上(そんなに回数多くありませんが)、FFFTPの設定がデフォルトの状態(レジストリに記録される状態)だと感染してから1時間~くらいで改ざんされて

パスワードの変更を行わないとそれ以後1日2回くらいのペースでさらに改ざんされていたようなので

今回感染から24時間経ってまだ改ざんされていないという事を考えるとiniファイルへ保存するようにしておけば現状とりあえずは大丈夫なのかなぁという気がします。

私がパケットログの内容を詳細に読み取れる人ならそのへんの情報が送信されているのかどうかハッキリするんでしょうが、まだよくわかっていません。さーせん

だからといって

    /\___/ヽ  ん?なんかわからんけど「iniファイルに保存する」ってしとけばokなの?
   /''''''   '''''':::::::\  今更FTPクライアント乗り換えるとかめんどいしじゃあそれでいいか
  . |(●),   、(●)、.:| +  
  |   ,,ノ(、_, )ヽ、,, .::::|     
.   |   mj |=‐ァ'  .::::| +   
   \,〈__ノニニ´ .:::/    +
  /ノ  ノ -‐‐一´\

なんていう甘い認識でいると、将来的にiniファイルまで読みに行くような改善(改悪?)が行われた時に困るでしょうし(今でも実はこっそり読みに行ってるのかもしれないし)そもそも他にも不安な部分はあるので、FTPクライアントの乗り換えがオススメされるわけです。

他にもある不安な部分などについてはgnomeさんに丸投げ

UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便

FFFTPの作者であるsotaさんからも以下のようなアナウンスが出されているようです。

Sota's Web Page (GumblarによるFFFTPへの攻撃について)

対策方法

●接続先のFTPサーバーがSSL等に対応している場合。

→SSL対応のFTPソフトへの切り替えをお薦めします。現在、FFFTPはSSL等に対応していません。なお、切り替えの際は、コントロールパネルの「プログラムの追加と削除」を使って、FFFTPをアンインストールしてください。

●接続先のFTPサーバーがSSL等に対応していない場合。

→下記のパスワード漏れ対策版のFFFTPをご利用ください。

→Gumblarウイルスの亜種がFFFTPを狙って攻撃しているとの報告があるため、他のFTPソフトに切り替えることで、ウイルスによるサイト改竄の可能性を下げることができるかもしれません。ただし、必ずしも万全とは言えないかもしれません。

→パスワードをFFFTPに記憶させるのをやめ、接続時に毎回パスワードを入力するようにしてください。ただし、Gumblarウイルスは通信の傍受も行っていると考えられるため、FTPサーバーに接続した時点で、Gumblarウイルスにパスワードが盗まれる可能性があり、万全ではありません。

 

余談

いやー、あるふぁぶろがーってこわい とおもいました。

転送量チェックして金玉が「キュン」ってなりました。

皆様、どうもお疲れ様です。

Track Back [1]

気になった記事(20100201)

気になった記事です。 Security関連 * NMAP 5.21 - Is UDP Protocol Specific Scanning I... 続きを読む

Comments [5]

No.1

お忙しい中調査ありがとうございます。

現状ではINIファイルは大丈夫?っぽいですが、有志によるFFFTPの改良版が出たので、今はそちらを使っています(今もINI設定です)。

いつも有意義な情報感謝しています。

No.2

そこには元気に走り回るSecurity Toolの姿が!

ffftpは気になってました。
普段使っていて、レジストリ保存ではなくini保存にしているので。
iniはとりあえず読んでないみたいですが、これを機に乗り換えるべきですかね・・・

でも、どのソフト使っても穴がありそうで怖いですが。
画期的な物が出るまではビビりながらffftp使います。


転送量は、昔「キュン」とした経験が何度かありますw
flashアニメ作ってたころのお話です。

No.3

なんか今の空気では言い出すのに勇気がいりますけど、私もこのサイトへのファイル転送にFFFTPを使ってました!しかもまんまレジストリに保存してました!えへ!蔑むがいいよ!
 
けどこの機会にWinSCPへ乗り換えてSFTPで接続するようにしました。
ありがとう!お疲れ様!FFFTP!
まだ慣れていないので正直使いづらいですけど、何かがあった時自分が損をするだけでは済まないので仕方ないのかなと思います。

No.4

先日の友人のサイト(こんな書き方をしていると本当は私っぽいですが・・・)は
次の日も改ざんされたので、
結局FTPのPassを変えたということです。
後日思いつきでftpのchmodはしないのではと思い、
パーミッションの書き込みの権限を外すようにアドバイスしました。
パスワードが変わったせいなのか・・・
パーミッションのせいなのか定かではありませんが、
それ以後改ざんは無いそうです。

ちなみに・・・
恐ろしいことに・・・
FTPのログで確認したところ全て海外(アメリカ・カナダ)からの
アップだったそうです。
これってどっかで洩れたってこと??
それ以来友人からのメールも開きたくなくなりました。

No.5

うちの生贄サイトには高機能なアクセスログが無いみたいなのでよくわかりませんけど
FTPのアクセスに関しては感染時に送信された情報を元に、多分世界中にあるゾンビーなサーバーからアーウーとアタックされているんじゃないかと思うので海外からのアクセスがあったとしても別におかしくないというかむしろ当然くらいじゃないかと思います。

コメントする

公開されません

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

このブログについて

  • bananaのブログです。
  • 連絡その他は

    まで。

サイト内検索

最近のコメント

月別アーカイブ

  1. 2018年1月 [1]
  2. 2017年1月 [1]
  3. 2016年11月 [1]
  4. 2016年10月 [1]
  5. 2016年6月 [1]
  6. 2016年5月 [2]
  7. 2016年4月 [1]
  8. 2016年2月 [2]
  9. 2016年1月 [4]
  10. 2015年12月 [2]
  11. 2015年11月 [1]
  12. 2015年10月 [3]
  13. 2015年9月 [4]
  14. 2015年8月 [17]
  15. 2015年7月 [13]
  16. 2015年6月 [19]
  17. 2015年5月 [22]
  18. 2015年4月 [21]
  19. 2015年3月 [23]
  20. 2015年2月 [22]
  21. 2015年1月 [28]
  22. 2014年12月 [27]
  23. 2014年11月 [24]
  24. 2014年10月 [21]
  25. 2014年9月 [19]
  26. 2014年8月 [8]
  27. 2014年7月 [24]
  28. 2014年6月 [25]
  29. 2014年5月 [24]
  30. 2014年4月 [23]
  31. 2014年3月 [27]
  32. 2014年2月 [25]
  33. 2014年1月 [28]
  34. 2013年12月 [30]
  35. 2013年11月 [24]
  36. 2013年10月 [27]
  37. 2013年9月 [25]
  38. 2013年8月 [26]
  39. 2013年7月 [29]
  40. 2013年6月 [30]
  41. 2013年5月 [25]
  42. 2013年4月 [28]
  43. 2013年3月 [30]
  44. 2013年2月 [28]
  45. 2013年1月 [30]
  46. 2012年12月 [27]
  47. 2012年11月 [22]
  48. 2012年10月 [25]
  49. 2012年9月 [30]
  50. 2012年8月 [31]
  51. 2012年7月 [30]
  52. 2012年6月 [30]
  53. 2012年5月 [28]
  54. 2012年4月 [30]
  55. 2012年3月 [31]
  56. 2012年2月 [28]
  57. 2012年1月 [31]
  58. 2011年12月 [30]
  59. 2011年11月 [30]
  60. 2011年10月 [31]
  61. 2011年9月 [30]
  62. 2011年8月 [28]
  63. 2011年7月 [30]
  64. 2011年6月 [30]
  65. 2011年5月 [31]
  66. 2011年4月 [28]
  67. 2011年3月 [31]
  68. 2011年2月 [28]
  69. 2011年1月 [29]
  70. 2010年12月 [29]
  71. 2010年11月 [30]
  72. 2010年10月 [31]
  73. 2010年9月 [30]
  74. 2010年8月 [31]
  75. 2010年7月 [29]
  76. 2010年6月 [29]
  77. 2010年5月 [30]
  78. 2010年4月 [28]
  79. 2010年3月 [31]
  80. 2010年2月 [28]
  81. 2010年1月 [35]
  82. 2009年12月 [30]
  83. 2009年11月 [29]
  84. 2009年10月 [32]
  85. 2009年9月 [29]
  86. 2009年8月 [31]
  87. 2009年7月 [31]
  88. 2009年6月 [30]
  89. 2009年5月 [30]
  90. 2009年4月 [30]
  91. 2009年3月 [30]
  92. 2009年2月 [28]
  93. 2009年1月 [31]
  94. 2008年12月 [31]
  95. 2008年11月 [31]
  96. 2008年10月 [30]
  97. 2008年9月 [31]
  98. 2008年8月 [30]
  99. 2008年7月 [32]
  100. 2008年6月 [30]
  101. 2008年5月 [31]
  102. 2008年4月 [30]
  103. 2008年3月 [31]
  104. 2008年2月 [30]
  105. 2008年1月 [27]
  106. 2007年12月 [31]
  107. 2007年11月 [28]
  108. 2007年10月 [29]
  109. 2007年9月 [29]
  110. 2007年8月 [31]
  111. 2007年7月 [30]
  112. 2007年6月 [30]
  113. 2007年5月 [31]
  114. 2007年4月 [29]
  115. 2007年3月 [31]
  116. 2007年2月 [28]
  117. 2007年1月 [33]
  118. 2006年12月 [30]
  119. 2006年11月 [30]
  120. 2006年10月 [31]
  121. 2006年9月 [30]
  122. 2006年8月 [32]
  123. 2006年7月 [33]
  124. 2006年6月 [28]
  125. 2006年5月 [32]
  126. 2006年4月 [32]
  127. 2006年3月 [33]
  128. 2006年2月 [29]
  129. 2006年1月 [32]
  130. 2005年12月 [32]
  131. 2005年11月 [35]
  132. 2005年10月 [37]
  133. 2005年9月 [36]
  134. 2005年8月 [34]
  135. 2005年7月 [38]
  136. 2005年6月 [34]
  137. 2005年5月 [40]
  138. 2005年4月 [36]
  139. 2005年3月 [33]
  140. 2005年2月 [36]
  141. 2005年1月 [33]
  142. 2004年12月 [42]
  143. 2004年11月 [41]
  144. 2004年10月 [16]