zlkonウイルス擦れ - 暇つぶし2ch

zlkonウイルス擦れ at SEC

38:名無しさん＠お腹いっぱい。
09/05/20 12:38:13
前GENOウイルスに感染してホームページ改変？されて
怪しいAUXと設定されてたファイルをセーフモードで駆除、sqlsodb入れ替えたら
改変されなくなったんだけど完治でいいの？

39:名無しさん＠お腹いっぱい。
09/05/20 13:33:01
>>38
観測されただけでもあれだけ更新をしてた／してる犯人である。
かなりのバージョンを手に入れた者や、
ある程度のバージョン群を解析／把握した者はいるかもしれないが、
全てのバージョンを手に入れたと断言できる者はAntiVirベンダにすらまずいまい。
いわんや、全てのバージョンの挙動を完全に解析／把握したと断言できる者なんぞ。

そうした本質を理解していれば決してそんな質問をするはずはない。
そんな貴方に贈れる言葉は「完全を求めるならクリーンインストールしろ」のみである。論理的に。

40:名無しさん＠お腹いっぱい。
09/05/23 13:54:31
レジストリのスタートアップ項目の不審なエントリーを削除。
Documents and Settings\user\Local Settings内の
意味不明なファイル、例えばxxxxx.ydhとかxxxxx.yhdとかないか確認。
怪しいファイルがあったらリネームかデスクトップ等に移動してみる。
移動できなかったり、移動できても、すぐに復活するようなら完治してない。

41:名無しさん＠お腹いっぱい。
09/05/23 21:13:22
探したらaux2ってのあったけど？これは？
パスに設定されたtmpファイルはもうありませんでした

42:名無しさん＠お腹いっぱい。
09/05/23 21:57:16
>>41
もっとも普通に考えられるのは、駆除済み状態

徹底的に神経質になるなら、外付けブートして、そのフルパスが生きてないことを確認する
それでみつかるなら、GENO系には単体でルートキット性能はないので、複合感染か亜種感染。

>>39
厳しいのう。
でも、ま、なにかあるたびに、さくっとWindows再インスコできる態勢ってのは、ある意味最強だね
いやほんと。ネット端末は2時間でフルインスコできるよって人は、環境を放棄する決断が早いｗ

>>38
ポジティブにいえば、【たぶん】それでおｋただし、複合感染してたら、その分は別途対策してね

43:名無しさん＠お腹いっぱい。
09/05/23 22:02:17
びくびくしながら使うぐらいないら、黙って再インストしとけ。

安心して使えることが一番大事だ。

44:名無しさん＠お腹いっぱい。
09/05/23 22:05:06
・パソコン内の改変・乗っ取り
・FTP ID/PASS抜き
両方修正しないといけないからな。。。

45:名無しさん＠お腹いっぱい。
09/05/24 10:28:24
やっと落ち着き始めたみたいね

46:名無しさん＠お腹いっぱい。
09/05/24 10:31:37
>>42
再インスコまでしなくてもTIなりを使って復元すれば良いだけ。
時間も再インスコほどはかからん。

定期的にバックアップするのを苦にするなら再インスコしかない。
利便性と安全性は反比例するものだ。

47:名無しさん＠お腹いっぱい。
09/05/24 11:18:13
直前までのメールとか、ブクマとかを放棄しろっていうのを、どこまで初心者ができるかになるんだよな
イメージバックアップの数少ない弱点ではある

48: ◆f/iQdjPxCM
09/05/24 22:11:30
ここに移ってみるテスト。

WSH版の方に期待しつつ、WSH版では厳しいかなという辺りの提起を試みてみる。
drv32listdotdotexist_v001.LZH
URLﾘﾝｸ(www1.axfc.net)
testDRV32LST

SIZE (drv32listdotdotexist.exe) = 5120
MD5 (drv32listdotdotexist.exe) = 6695895f4d990f4c74ee172baa39b853
SHA1 (drv32listdotdotexist.exe) = 8eb02929e5a16633b3370ee44aad818f74054b75
SHA256 (drv32listdotdotexist.exe) = c48700c1e325b8e94dec507be147df65a8acf558607f0083e7a5a5ad8f8aeb4e
SHA512 (drv32listdotdotexist.exe) = 99e619da205173dae328f48aaa259d58a0bb6e42451c2192c0f0b4431e3de141054a097152758d68cbae18102a4779aa525e0e3af2e965fc10e3c910f430eb02

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の値(auxとかmidiとか)で、REG_SZ(だけでいいと思うが一応REG_EXPAND_SZも)
かつ \..\ を含み、かつファイルが実際に存在するものの列挙をファイルに保存。
普通に考えるとWSHで充分可能な内容だと思われるわけだが、
　・Administrators所属のuser1で感染、aux2 辺りに
　　C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo
　　とある。
　・Usersのみに所属のuser2でdrv32listdotdotexist.exeを実行。
という時にも、C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo の存否を
正しく判定できるはずなんだな。
これはWSHだとちと厳しいんじゃなかろうかと思うがそうでもないのかね。

まぁ、zlkon系自体は犯人の活動再開があるなら、
今度は亜種ではなくガラっと変えて来そうな世情になってきた感はあるけども、
今後の各AntiVirベンダの製品の検出能力が追いつくまでのタイムラグ全般に
どの程度のことができ得るのかというのを、zlkon系をサンプル事例と捉えて
うだうだと検討してみるような何か。

49:名無しさん＠お腹いっぱい。
09/05/24 23:19:09
>>48
乙ｗ

50:名無しさん＠お腹いっぱい。
09/05/24 23:23:02
とりあえず移動おつー
WSH版は、しゃーないからやってみだしたことであって、ネイティブ常に最強ｗ
やっぱりたのしいのはC++&インライン汗でしょ

雑談。\..\ は、実行位置によっては、必ず出現するわけじゃないですｗ
%temp%\..\ になりやすいのは、%temp% で実行されるからなんでしょうね
ルートディレクトリで実行されると、ルートに本体を吐きます
これは試してはないのですけど、anubis の自動実行ログを見るとわかると

51: ◆f/iQdjPxCM
09/05/24 23:38:22
>>50
ごめん、俺、C++じゃなくてCで書いてるｗ
VC++じゃなくてmingw32なのでソース出せば金銭的な敷居はなしに
バイナリ再現実験もできるはずだったりはする。

一応、
URLﾘﾝｸ(anubis.iseclab.org)
は見て、
> - Registry Values Modified:
で
> Key
> 　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
> Name
> 　　aux
> New Value
> 　　C:\..\bgrn.mym
となってるのを当てにしてたりする。

まぁ、「%SystemRoot%の外」という条件の方がベターかもですね。

52:名無しさん＠お腹いっぱい。
09/05/24 23:47:27
あれｗｗｗ > X:\..\
そうかキーのほうは、いつも\..\ がでるのかｗ見落としてたｗ

あーたぶんそうだろうなーとｗ > mingw32

VC++も最近は、コマンドラインコンパイルセットはほぼ制限なく無償で手に入りますよ
PSDK にバンドルされてきますどっちも使えるようにしておくと便利かもです

53: ◆f/iQdjPxCM
09/05/25 00:15:21
ん？あぁ、ちょうどあっちがああなのね……。

>>52
まぁ、何にせよ\..\がない亜種が存在しなかったと断言することはできないわけですがｗ

んー、コンパイラの癖まで見なくても、
GENOdetect/envinfoの頃はスタートアップコードをリンクしてましたからね。

mingw32な理由の第一は単に慣れてるからですが、
スタートアップコードまで手を入れて削れるのが、
逆汗して読む人向けに余計なコード削れていいかなぁ、とか。
VC++EEもスタートアップコードのソース付いてくるんだっけ？
まぁ、結局スタートアップコード自体リンクしないようにしてしまったのであれですが。

54:名無しさん＠お腹いっぱい。
09/05/25 08:11:45
おおっ、vtフルクリアｗ
スタートアップコードを削ると、結構ヒューリスティックにひっかかるのですがｗ

VCのライブラリソースは、製品版以上ですねー
ただし、評価版に、特にロックなく付属してくるので、緊急事態のときは参照できる退路はあります

55:名無しさん＠お腹いっぱい。
09/05/25 08:53:44
>>48
２月っからずっと変わってないけど

56: ◆f/iQdjPxCM
09/05/26 23:21:59
>>55
んーと、常駐部を登録するコードが変化なしあるいは\..\を入れるという挙動が変化なし
ということかな。
まぁ、これまでそうだったとして、
今後もその犯人がそれだけであり続けるとは限らないし、ということで。

>>54
うーん、mingw32なのがいいのかなぁ……。　＜ヒューリスティック
それよりは、C++だとライブラリはさておき、言語仕様的な面で
スタートアップコードでの初期処理必須な部分がいろいろあろうから、
それが削られてその不足から不可解と判断されてそうな気もしないでもない。
とかテキトーなこと言ってみる。

57:名無しさん＠お腹いっぱい。
09/05/26 23:25:05
雑談。C/C++どっちでも、スタートアップコードはかわらんですｗ
かわるというか、例外まわりとか、RTTIまわりでリンクされる関数が増えます

58: ◆f/iQdjPxCM
09/05/27 03:01:39
mingw32でもスタートアップコード自体は共通なんだけど、
あー、とりあえずmingw32とは少々違うアプローチっぽい感じなんだな、きっと。
何にせよ、mingw32よりはVC++の方がネイティブな実装になってるだろうけど、
それでもC++はCより削れない処理が増えそうなイメージ。
例外やRTTIはg++で言う-fno-exception -fno-rtti 的なオプションで忘れられそう
だけど、new(/delete)の(後始末の)準備とか。

てことはやっぱり、PEヘッダの違いとか、セクション名(.idataとか)なんかで
VC++ではない判定されて緩くなっとるんかのぉ。
それはそれでなんじゃらほいな気はするが……。