とうとう「セキュリティ」カテゴリができました。
「セキュリティ」とか言えるようなブログじゃないのに・・・
さて、ダメモトで改ざんされたページ巡ってたら感染できました事をお知らせ致します。
環境は以下
OS | WindowsXP Pro SP3+2010/06/29までの重要な更新をインストール ※「Windowsヘルプとサポートセンター」関係の更新(Fix it)は未実行 |
IEのバージョンは? | 7 |
ウイルス対策ソフトは? | なし |
AdobeReaderのバージョンは? | 9.3.3 ※JavaScript を使用 / 外部アプリケーションで~ 両方ともOFF |
JREのバージョンは? | 1.6.0_20-b02 |
前回との違いは、あどべリーダーが9.3.2→9.3.3にバージョンアップした事とIEのバージョンが8→7へダウンした事。
で
ストックしてあったサイトの内一つだけがかろうじて生きていました。
結論から言うと、上記の環境で改ざんされたページへアクセスするとやっぱりきっちり感染して
すっかりお馴染み(?)なSecurityToolをガッツリ仕込まれます。
という事でいくらAdobeReaderやJREを最新にしてあってもWindowsヘルプの脆弱性が残っていれば感染してしまうみたいです。
そのWindowsヘルプの脆弱性については7月14日に修正パッチが公開されるようではありますが、それまでのほほんと待つのもちょっとどうかと思いますのでWindowsXPの人でまだ未対策な人はとりあえず「Fix it」しときましょう。
以下詳細。
詳細、とか言いながらいきなり省きますけど
感染時の画面変遷としては
1.サイトにアクセス
2.約30秒後、Javaのアイコンがタスクバーにぽこっと出現
3.続いて、「ヘルプとサポートセンター」の画面がぽこっと出現するが、約10秒後勝手に閉じられる。
4.3から約1分後、「Security Tool successfully installed!」 (Security Toolがどんなソフトかはこちら)
5.4から約1分30秒後、パターン青!!
探る
私の不手際でProcess Monitorのログファイルが消失してしまったので細かな動きが不明なんですが
別ソフトでファイルやレジストリの増減は追っていたので、その中でもあからさまに怪しいものをピックアップ
作成されたファイル
C:\Documents and Settings\All Users\Application Data\19395229
C:\Documents and Settings\All Users\Application Data\19395229\19395229.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\S-1-5-18\6d14e4b1d8ca773bab785d1be032546e_3ee79c3c-47e8-4fe1-989e-528efcdf1e6b
C:\Documents and Settings\user\Application Data\avdrn.dat
C:\Documents and Settings\user\Application Data\Adobe\Acrobat\9.0\TMDocs.sav
C:\Documents and Settings\user\Application Data\Adobe\Acrobat\9.0\TMGrpPrm.sav
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\ext
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\log
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\tmp
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\user\スタート メニュー\プログラム\スタートアップ\srvklw32.exe
C:\Documents and Settings\user\デスクトップ\Security Tool.lnk
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\CatRoot2\tmp.edb
C:\WINDOWS\system32\config\systemprofile\Application Data\hwzypv.dat
C:\WINDOWS\system32\config\systemprofile\スタート メニュー\プログラム\Security Tool.lnk
C:\WINDOWS\system32\dllcache\aec.sys
C:\WINDOWS\system32\drivers\ioyifph.sys
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\Temp\_ex-08.exe
こいつはくせぇー
追加(変更)されたレジストリ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF Type dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF Start dword:00000003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF ImagePath hex(2):73,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,4e,50,46,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF DisplayName WinPcap Packet Driver (NPF)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF TimestampMode dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Security Security hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Enum 0 Root\LEGACY_NPF\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Enum Count dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Enum NextInstance dword:00000001HKEY_LOCAL_MACHINE\SOFTWARE\19395229
HKEY_LOCAL_MACHINE\SOFTWARE\19395229 Grep hex:6f,c3,15,55,1b,b6,e3,40,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 19395229 C:\DOCUME~1\ALLUSE~1\APPLIC~1\19395229\19395229.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run sniffer C:\WINDOWS\Temp\_ex-08.exe
げろいかのにおいがぷんぷんするぜー
もう一度Process Monitorのログが残るような形で試して詳しいログを・・・と思って今やってるんですが、また感染できない状態に戻ってしまいました。
うーんなんじゃこの気まぐれ。
「セキュリティ」カテゴリ開設(*゚▽゚)/゚・:*【祝】*:・゚\(゚▽゚*)
でもまたフラレちゃったのねん(笑)
対岸で手招きなんかしてませんよね~(イヒ)
>鷹之丞 さん
正確に言うと前回とは若干違うような感じなんですが、結局はふられているという事みたいです。
>G`nome
馬鹿言ってんじゃないですよ!うちはくだらないブログで行くんですよ!「セキュリティ」カテゴリのエントリーなんてこれ以上増やす気は・・・無いんだからね!!