zlkonウイルス擦れ - 暇つぶし2ch

zlkonウイルス擦れ ..

2:名無しさん＠お腹いっぱい。
09/05/18 14:20:20
gdgdで他板住民であふれかえっている本スレ
ｽﾚﾘﾝｸ(sec板)

3:名無しさん＠お腹いっぱい。
09/05/18 14:37:45
検体は？
そもそも今流行してるタイプが前回のタイプと同じなのか違うのかくらい書けよ
同じならリカバリって結論が出てるしこのウイルスの挙動も大体わかってんだろ

4:名無しさん＠お腹いっぱい。
09/05/18 14:44:14
あきた

5:名無しさん＠お腹いっぱい。
09/05/18 14:49:52
感染確定サイト (14)

senn特殊光源 www.senlights.co.jp/index.html
livmail www.livmail.com/3others-page/janet/tokusen/index.htm　既出
スカイハイプレミアム skyhighpremium.com　追加
Carwash URLﾘﾝｸ(www.carwash.co.jp)　既出
成美○出版 www.seibidoshuppan.co.jp/　既出
Akemi ○ayashi Website replica08.web.fc2.com/ 既出。チェッカで1000％
主上支局 URLﾘﾝｸ(ssfos.hp.infoseek.co.jp)
テイアラモード www.tiaramode.com　ここも散々既出でしょうけど
ペットの姓名判断のサイト www.laqoo.net/kyouun/pet/index.html
帰ってき○三日天下 mikkatenka.sakura.ne.jp/　黒
烏骨鶏 www.ukokkei.co.jp　確定
株式会社まどか www.madoka-soft.co.jp　ここも
リボンマジック www.ribbonmagic.com　発端だと言われているサイト、チェッカー結果1000%で真っ黒
Replica replica08.web.fc2.com/index.html 感染確定サイト、対処予定ですが現在真っ黒。

感染対策済みのサイト(10)

・小林製薬
・BIG-server.com】
・ウェルネス（医療情報提供企業）
・薬事日報社
・国交省中部地方整備局岐阜国道事務所
・全日本民医連
・総合ホビー展示即売会「ホビコン」
・GENO（PC通販ショップ）
・NHT紀尾井町グループ（自毛植毛斡旋企業）
・SayMove！
・ライブハウス「あさがやドラム」

6:名無しさん＠お腹いっぱい。
09/05/18 15:54:08
何故かほっとするスレタイだな

7:名無しさん＠お腹いっぱい。
09/05/18 16:24:06
GENOウイルススレから来ました
ここでいいのかな？

8:名無しさん＠お腹いっぱい。
09/05/18 22:51:57
今北産業

9:名無しさん＠お腹いっぱい。
09/05/19 07:59:31
GENOウイルスって書かないと何のことかわからないよ

10:名無しさん＠お腹いっぱい。
09/05/19 09:58:03
GENOでやると変なの来るからな。
某サイトの青板でも２人質問者来てたね

11:名無しさん＠お腹いっぱい。
09/05/19 10:42:53
流行ってるのはauxに不正な値が設定される奴だろ？
一番駆除が楽なタイプだと思うんだが

12:名無しさん＠お腹いっぱい。
09/05/19 11:02:40
>>10
来てたな
案内で終わってしまったが

13:名無しさん＠お腹いっぱい。
09/05/19 11:22:45
>>11
UnderForge of Lackにもあるけど
AUXの値を正常値に戻し不正に設定されていたファイルを削除が海外でも一般的。

14:名無しさん＠お腹いっぱい。
09/05/19 11:26:55
>>10
何で伏せるん？

15:11
09/05/19 11:33:32
あんだーさんの所は完全に安全とはいいっきってない
一応追記しておく

16:13
09/05/19 11:37:49
↑13ですた

17:名無しさん＠お腹いっぱい。
09/05/19 14:15:20
このウィルスの動作って、webページに埋め込んだ難読化スクリプトで
サイト外に置いてあるflashやadbe readerの脆弱性をつくファイルを読ませる
ってことでいいんだろうか？

18:名無しさん＠お腹いっぱい。
09/05/19 15:07:20
>>17
動作というか感染の引き金となる動作はそれであってる

19:名無しさん＠お腹いっぱい。
09/05/19 15:12:35
>>14
向こうの人手不足に加え
アホが大量に流れ込んで質問だらけになるかもしれないし

20:名無しさん＠お腹いっぱい。
09/05/19 15:16:11
tｈｘ

21:名無しさん＠お腹いっぱい。
09/05/19 15:23:51
今更だけどMBAMとBleeping Computerのフォーラムにも症例あった
やっぱ向こうにもいるみたいね

22:名無しさん＠お腹いっぱい。
09/05/19 15:33:53
今回のウイルス騒動は豚インフルエンザと似てる
感染力は異常に高いが致死性は低い(駆除はそれ程難しくない)
やたらと世界の終わり見たいに騒がれてるけどww

23:名無しさん＠お腹いっぱい。
09/05/19 15:37:16
>>22
駆除が難しくないんじゃなくて感染を防ぐのが難しくないの方が正しい
防ぐ方法がソフト最新にするだけだから
駆除は一回感染されたらクリーンインストールしか無理

24:名無しさん＠お腹いっぱい。
09/05/19 15:40:17
>>23
なぜ無理なの？
駆除が無理ならどこのサイトも駆除方法載っけたり駆除指示出さないと思うけど

25:名無しさん＠お腹いっぱい。
09/05/19 15:41:58
>>24
駆除方法なんて乗ってるサイトあるのか？
このウイルスはファイルを操作したら自分を削除するんだぞ？
サイトとPCの駆除を一緒にしてるのか？

26:名無しさん＠お腹いっぱい。
09/05/19 15:44:19
>>24
その駆除方法ってサイトのコードを消す方法じゃないのか？
サイトのコード消してもPC感染してたらまたコード書かれるんだぞ

27:名無しさん＠お腹いっぱい。
09/05/19 15:49:05
>>25
変種にでもなってなきゃGENOウイルスは駆除可能

28:名無しさん＠お腹いっぱい。
09/05/19 15:49:26
>>24
あれだけ駆除できないって言われてたのに？
駆除方法乗ってるサイトってどこ？教えて～

29:名無しさん＠お腹いっぱい。
09/05/19 16:05:49
>>27
GENOウイルスのテンプレに
◇感染してるっぽい場合
　ＯＳクリーンインストール一択
って書いてあるけどこれは嘘なのか・・・

30:名無しさん＠お腹いっぱい。
09/05/19 16:22:22
実際感染実験すればすべてわかるだろ
感染実験ようにHP立てて感染して駆除→駆除後FTPのパス変えてHPを修復して
元に戻ってなきゃ99％大丈夫と言えるだろ

31:名無しさん＠お腹いっぱい。
09/05/19 16:28:03
そうですかーすごいですねーかっこいいー

32:名無しさん＠お腹いっぱい。
09/05/19 16:34:32
>>31本スレに帰れ

33:名無しさん＠お腹いっぱい。
09/05/19 16:42:50
AUXに設定された値のファイルが主な動きをするのは確か。AUXのファイルを消してレジストリを修復すれば症状が収まるのも事実
ただそれだけで駆除出来たと確信するのは危ないという意見があるのが現状

34:名無しさん＠お腹いっぱい。
09/05/19 20:02:53
>>25
海外フォーラムでの感染例、駆除例
URLﾘﾝｸ(www.malwarebytes.org)
URLﾘﾝｸ(www.bleepingcomputer.com)
URLﾘﾝｸ(www.malwarebytes.org)
URLﾘﾝｸ(www.myantispyware.com)
URLﾘﾝｸ(www.geekstogo.com)
URLﾘﾝｸ(www.security-forums.com)

向こうじゃgoogle redirect virusで
（すべてのgoogle redirect virusがzlkon gambler系の物ではない）

35:名無しさん＠お腹いっぱい。
09/05/20 08:21:18
>>34
やっぱAUXの修正、設定されていたファイル削除で終わってるね

36:名無しさん＠お腹いっぱい。
09/05/20 10:11:56
なんか他スレは情弱ばっかだね

37:名無しさん＠お腹いっぱい。
09/05/20 11:11:22
GENOウイルス＝JSRedir
って勘違いしてるやつ多そう

38:名無しさん＠お腹いっぱい。
09/05/20 12:38:13
前GENOウイルスに感染してホームページ改変？されて
怪しいAUXと設定されてたファイルをセーフモードで駆除、sqlsodb入れ替えたら
改変されなくなったんだけど完治でいいの？

39:名無しさん＠お腹いっぱい。
09/05/20 13:33:01
>>38
観測されただけでもあれだけ更新をしてた／してる犯人である。
かなりのバージョンを手に入れた者や、
ある程度のバージョン群を解析／把握した者はいるかもしれないが、
全てのバージョンを手に入れたと断言できる者はAntiVirベンダにすらまずいまい。
いわんや、全てのバージョンの挙動を完全に解析／把握したと断言できる者なんぞ。

そうした本質を理解していれば決してそんな質問をするはずはない。
そんな貴方に贈れる言葉は「完全を求めるならクリーンインストールしろ」のみである。論理的に。

40:名無しさん＠お腹いっぱい。
09/05/23 13:54:31
レジストリのスタートアップ項目の不審なエントリーを削除。
Documents and Settings\user\Local Settings内の
意味不明なファイル、例えばxxxxx.ydhとかxxxxx.yhdとかないか確認。
怪しいファイルがあったらリネームかデスクトップ等に移動してみる。
移動できなかったり、移動できても、すぐに復活するようなら完治してない。

41:名無しさん＠お腹いっぱい。
09/05/23 21:13:22
探したらaux2ってのあったけど？これは？
パスに設定されたtmpファイルはもうありませんでした

42:名無しさん＠お腹いっぱい。
09/05/23 21:57:16
>>41
もっとも普通に考えられるのは、駆除済み状態

徹底的に神経質になるなら、外付けブートして、そのフルパスが生きてないことを確認する
それでみつかるなら、GENO系には単体でルートキット性能はないので、複合感染か亜種感染。

>>39
厳しいのう。
でも、ま、なにかあるたびに、さくっとWindows再インスコできる態勢ってのは、ある意味最強だね
いやほんと。ネット端末は2時間でフルインスコできるよって人は、環境を放棄する決断が早いｗ

>>38
ポジティブにいえば、【たぶん】それでおｋただし、複合感染してたら、その分は別途対策してね

43:名無しさん＠お腹いっぱい。
09/05/23 22:02:17
びくびくしながら使うぐらいないら、黙って再インストしとけ。

安心して使えることが一番大事だ。

44:名無しさん＠お腹いっぱい。
09/05/23 22:05:06
・パソコン内の改変・乗っ取り
・FTP ID/PASS抜き
両方修正しないといけないからな。。。

45:名無しさん＠お腹いっぱい。
09/05/24 10:28:24
やっと落ち着き始めたみたいね

46:名無しさん＠お腹いっぱい。
09/05/24 10:31:37
>>42
再インスコまでしなくてもTIなりを使って復元すれば良いだけ。
時間も再インスコほどはかからん。

定期的にバックアップするのを苦にするなら再インスコしかない。
利便性と安全性は反比例するものだ。

47:名無しさん＠お腹いっぱい。
09/05/24 11:18:13
直前までのメールとか、ブクマとかを放棄しろっていうのを、どこまで初心者ができるかになるんだよな
イメージバックアップの数少ない弱点ではある

48: ◆f/iQdjPxCM
09/05/24 22:11:30
ここに移ってみるテスト。

WSH版の方に期待しつつ、WSH版では厳しいかなという辺りの提起を試みてみる。
drv32listdotdotexist_v001.LZH
URLﾘﾝｸ(www1.axfc.net)
testDRV32LST

SIZE (drv32listdotdotexist.exe) = 5120
MD5 (drv32listdotdotexist.exe) = 6695895f4d990f4c74ee172baa39b853
SHA1 (drv32listdotdotexist.exe) = 8eb02929e5a16633b3370ee44aad818f74054b75
SHA256 (drv32listdotdotexist.exe) = c48700c1e325b8e94dec507be147df65a8acf558607f0083e7a5a5ad8f8aeb4e
SHA512 (drv32listdotdotexist.exe) = 99e619da205173dae328f48aaa259d58a0bb6e42451c2192c0f0b4431e3de141054a097152758d68cbae18102a4779aa525e0e3af2e965fc10e3c910f430eb02

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の値(auxとかmidiとか)で、REG_SZ(だけでいいと思うが一応REG_EXPAND_SZも)
かつ \..\ を含み、かつファイルが実際に存在するものの列挙をファイルに保存。
普通に考えるとWSHで充分可能な内容だと思われるわけだが、
　・Administrators所属のuser1で感染、aux2 辺りに
　　C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo
　　とある。
　・Usersのみに所属のuser2でdrv32listdotdotexist.exeを実行。
という時にも、C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo の存否を
正しく判定できるはずなんだな。
これはWSHだとちと厳しいんじゃなかろうかと思うがそうでもないのかね。

まぁ、zlkon系自体は犯人の活動再開があるなら、
今度は亜種ではなくガラっと変えて来そうな世情になってきた感はあるけども、
今後の各AntiVirベンダの製品の検出能力が追いつくまでのタイムラグ全般に
どの程度のことができ得るのかというのを、zlkon系をサンプル事例と捉えて
うだうだと検討してみるような何か。

49:名無しさん＠お腹いっぱい。
09/05/24 23:19:09
>>48
乙ｗ

50:名無しさん＠お腹いっぱい。
09/05/24 23:23:02
とりあえず移動おつー
WSH版は、しゃーないからやってみだしたことであって、ネイティブ常に最強ｗ
やっぱりたのしいのはC++&インライン汗でしょ

雑談。\..\ は、実行位置によっては、必ず出現するわけじゃないですｗ
%temp%\..\ になりやすいのは、%temp% で実行されるからなんでしょうね
ルートディレクトリで実行されると、ルートに本体を吐きます
これは試してはないのですけど、anubis の自動実行ログを見るとわかると

51: ◆f/iQdjPxCM
09/05/24 23:38:22
>>50
ごめん、俺、C++じゃなくてCで書いてるｗ
VC++じゃなくてmingw32なのでソース出せば金銭的な敷居はなしに
バイナリ再現実験もできるはずだったりはする。

一応、
URLﾘﾝｸ(anubis.iseclab.org)
は見て、
> - Registry Values Modified:
で
> Key
> 　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
> Name
> 　　aux
> New Value
> 　　C:\..\bgrn.mym
となってるのを当てにしてたりする。

まぁ、「%SystemRoot%の外」という条件の方がベターかもですね。

52:名無しさん＠お腹いっぱい。
09/05/24 23:47:27
あれｗｗｗ > X:\..\
そうかキーのほうは、いつも\..\ がでるのかｗ見落としてたｗ

あーたぶんそうだろうなーとｗ > mingw32

VC++も最近は、コマンドラインコンパイルセットはほぼ制限なく無償で手に入りますよ
PSDK にバンドルされてきますどっちも使えるようにしておくと便利かもです

53: ◆f/iQdjPxCM
09/05/25 00:15:21
ん？あぁ、ちょうどあっちがああなのね……。

>>52
まぁ、何にせよ\..\がない亜種が存在しなかったと断言することはできないわけですがｗ

んー、コンパイラの癖まで見なくても、
GENOdetect/envinfoの頃はスタートアップコードをリンクしてましたからね。

mingw32な理由の第一は単に慣れてるからですが、
スタートアップコードまで手を入れて削れるのが、
逆汗して読む人向けに余計なコード削れていいかなぁ、とか。
VC++EEもスタートアップコードのソース付いてくるんだっけ？
まぁ、結局スタートアップコード自体リンクしないようにしてしまったのであれですが。

54:名無しさん＠お腹いっぱい。
09/05/25 08:11:45
おおっ、vtフルクリアｗ
スタートアップコードを削ると、結構ヒューリスティックにひっかかるのですがｗ

VCのライブラリソースは、製品版以上ですねー
ただし、評価版に、特にロックなく付属してくるので、緊急事態のときは参照できる退路はあります

55:名無しさん＠お腹いっぱい。
09/05/25 08:53:44
>>48
２月っからずっと変わってないけど

56: ◆f/iQdjPxCM
09/05/26 23:21:59
>>55
んーと、常駐部を登録するコードが変化なしあるいは\..\を入れるという挙動が変化なし
ということかな。
まぁ、これまでそうだったとして、
今後もその犯人がそれだけであり続けるとは限らないし、ということで。

>>54
うーん、mingw32なのがいいのかなぁ……。　＜ヒューリスティック
それよりは、C++だとライブラリはさておき、言語仕様的な面で
スタートアップコードでの初期処理必須な部分がいろいろあろうから、
それが削られてその不足から不可解と判断されてそうな気もしないでもない。
とかテキトーなこと言ってみる。

57:名無しさん＠お腹いっぱい。
09/05/26 23:25:05
雑談。C/C++どっちでも、スタートアップコードはかわらんですｗ
かわるというか、例外まわりとか、RTTIまわりでリンクされる関数が増えます

58: ◆f/iQdjPxCM
09/05/27 03:01:39
mingw32でもスタートアップコード自体は共通なんだけど、
あー、とりあえずmingw32とは少々違うアプローチっぽい感じなんだな、きっと。
何にせよ、mingw32よりはVC++の方がネイティブな実装になってるだろうけど、
それでもC++はCより削れない処理が増えそうなイメージ。
例外やRTTIはg++で言う-fno-exception -fno-rtti 的なオプションで忘れられそう
だけど、new(/delete)の(後始末の)準備とか。

てことはやっぱり、PEヘッダの違いとか、セクション名(.idataとか)なんかで
VC++ではない判定されて緩くなっとるんかのぉ。
それはそれでなんじゃらほいな気はするが……。