- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 14:18:54 ]
- まったり解析
- 2 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 14:20:20 ]
- gdgdで他板住民であふれかえっている本スレ
pc11.2ch.net/test/read.cgi/sec/1242611652/
- 3 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 14:37:45 ]
- 検体は?
そもそも今流行してるタイプが前回のタイプと同じなのか違うのかくらい書けよ
同じならリカバリって結論が出てるしこのウイルスの挙動も大体わかってんだろ
- 4 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 14:44:14 ]
- あきた
- 5 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 14:49:52 ]
- 感染確定サイト (14)
senn特殊光源 www.senlights.co.jp/index.html
livmail www.livmail.com/3others-page/janet/tokusen/index.htm 既出
スカイハイプレミアム skyhighpremium.com 追加
Carwash www.carwash.co.jp/ 既出
成美○出版 www.seibidoshuppan.co.jp/ 既出
Akemi ○ayashi Website replica08.web.fc2.com/ 既出。チェッカで1000%
主上支局 ssfos.hp.infoseek.co.jp/
テイアラモード www.tiaramode.com ここも散々既出でしょうけど
ペットの姓名判断のサイト www.laqoo.net/kyouun/pet/index.html
帰ってき○三日天下 mikkatenka.sakura.ne.jp/ 黒
烏骨鶏 www.ukokkei.co.jp 確定
株式会社まどか www.madoka-soft.co.jp ここも
リボンマジック www.ribbonmagic.com 発端だと言われているサイト、チェッカー結果1000%で真っ黒
Replica replica08.web.fc2.com/index.html 感染確定サイト、対処予定ですが現在真っ黒。
感染対策済みのサイト(10)
・小林製薬
・BIG-server.com】
・ウェルネス(医療情報提供企業)
・薬事日報社
・国交省中部地方整備局岐阜国道事務所
・全日本民医連
・総合ホビー展示即売会「ホビコン」
・GENO(PC通販ショップ)
・NHT紀尾井町グループ(自毛植毛斡旋企業)
・SayMove!
・ライブハウス「あさがやドラム」
- 6 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 15:54:08 ]
- 何故かほっとするスレタイだな
- 7 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/18(月) 16:24:06 ]
- GENOウイルススレから来ました
ここでいいのかな?
- 8 名前:名無しさん@お腹いっぱい。 [2009/05/18(月) 22:51:57 ]
- 今北産業
- 9 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 07:59:31 ]
- GENOウイルスって書かないと何のことかわからないよ
- 10 名前:名無しさん@お腹いっぱい。 [2009/05/19(火) 09:58:03 ]
- GENOでやると変なの来るからな。
某サイトの青板でも2人質問者来てたね
- 11 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 10:42:53 ]
- 流行ってるのはauxに不正な値が設定される奴だろ?
一番駆除が楽なタイプだと思うんだが
- 12 名前:名無しさん@お腹いっぱい。 [2009/05/19(火) 11:02:40 ]
- >>10
来てたな
案内で終わってしまったが
- 13 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 11:22:45 ]
- >>11
UnderForge of Lackにもあるけど
AUXの値を正常値に戻し不正に設定されていたファイルを削除が海外でも一般的。
- 14 名前:名無しさん@お腹いっぱい。 [2009/05/19(火) 11:26:55 ]
- >>10
何で伏せるん?
- 15 名前:11 mailto:sage [2009/05/19(火) 11:33:32 ]
- あんだーさんの所は完全に安全とはいいっきってない
一応追記しておく
- 16 名前:13 mailto:sage [2009/05/19(火) 11:37:49 ]
- ↑13ですた
- 17 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 14:15:20 ]
- このウィルスの動作って、webページに埋め込んだ難読化スクリプトで
サイト外に置いてあるflashやadbe readerの脆弱性をつくファイルを読ませる
ってことでいいんだろうか?
- 18 名前:名無しさん@お腹いっぱい。 [2009/05/19(火) 15:07:20 ]
- >>17
動作というか感染の引き金となる動作はそれであってる
- 19 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:12:35 ]
- >>14
向こうの人手不足に加え
アホが大量に流れ込んで質問だらけになるかもしれないし
- 20 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:16:11 ]
- thx
- 21 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:23:51 ]
- 今更だけどMBAMとBleeping Computerのフォーラムにも症例あった
やっぱ向こうにもいるみたいね
- 22 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:33:53 ]
- 今回のウイルス騒動は豚インフルエンザと似てる
感染力は異常に高いが致死性は低い(駆除はそれ程難しくない)
やたらと世界の終わり見たいに騒がれてるけどww
- 23 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:37:16 ]
- >>22
駆除が難しくないんじゃなくて感染を防ぐのが難しくないの方が正しい
防ぐ方法がソフト最新にするだけだから
駆除は一回感染されたらクリーンインストールしか無理
- 24 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:40:17 ]
- >>23
なぜ無理なの?
駆除が無理ならどこのサイトも駆除方法載っけたり駆除指示出さないと思うけど
- 25 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:41:58 ]
- >>24
駆除方法なんて乗ってるサイトあるのか?
このウイルスはファイルを操作したら自分を削除するんだぞ?
サイトとPCの駆除を一緒にしてるのか?
- 26 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:44:19 ]
- >>24
その駆除方法ってサイトのコードを消す方法じゃないのか?
サイトのコード消してもPC感染してたらまたコード書かれるんだぞ
- 27 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:49:05 ]
- >>25
変種にでもなってなきゃGENOウイルスは駆除可能
- 28 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 15:49:26 ]
- >>24
あれだけ駆除できないって言われてたのに?
駆除方法乗ってるサイトってどこ?教えて〜
- 29 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 16:05:49 ]
- >>27
GENOウイルスのテンプレに
◇感染してるっぽい場合
OSクリーンインストール一択
って書いてあるけどこれは嘘なのか・・・
- 30 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 16:22:22 ]
- 実際感染実験すればすべてわかるだろ
感染実験ようにHP立てて感染して駆除→駆除後FTPのパス変えてHPを修復して
元に戻ってなきゃ99%大丈夫と言えるだろ
- 31 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 16:28:03 ]
- そうですかーすごいですねーかっこいいー
- 32 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 16:34:32 ]
- >>31本スレに帰れ
- 33 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/19(火) 16:42:50 ]
- AUXに設定された値のファイルが主な動きをするのは確か。AUXのファイルを消してレジストリを修復すれば症状が収まるのも事実
ただそれだけで駆除出来たと確信するのは危ないという意見があるのが現状
- 34 名前:名無しさん@お腹いっぱい。 [2009/05/19(火) 20:02:53 ]
- >>25
海外フォーラムでの感染例、駆除例
www.malwarebytes.org/forums/index.php?showtopic=13430&st=0
www.bleepingcomputer.com/forums/topic208323.html
www.malwarebytes.org/forums/index.php?showtopic=15164
www.myantispyware.com/2009/02/19/how-to-remove-google-searches-redirect-via-7770-remove-rootkitwin32agentfwt/
www.geekstogo.com/forum/Malwarebyte-will-not-update-Google-redirect-t236833.html
www.security-forums.com/viewtopic.php?p=298645
向こうじゃgoogle redirect virusで
(すべてのgoogle redirect virusがzlkon gambler系の物ではない)
- 35 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/20(水) 08:21:18 ]
- >>34
やっぱAUXの修正、設定されていたファイル削除で終わってるね
- 36 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/20(水) 10:11:56 ]
- なんか他スレは情弱ばっかだね
- 37 名前:名無しさん@お腹いっぱい。 [2009/05/20(水) 11:11:22 ]
- GENOウイルス=JSRedir
って勘違いしてるやつ多そう
- 38 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/20(水) 12:38:13 ]
- 前GENOウイルスに感染してホームページ改変?されて
怪しいAUXと設定されてたファイルをセーフモードで駆除、sqlsodb入れ替えたら
改変されなくなったんだけど完治でいいの?
- 39 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/20(水) 13:33:01 ]
- >>38
観測されただけでもあれだけ更新を してた/してる 犯人である。
かなりのバージョンを手に入れた者や、
ある程度のバージョン群を解析/把握した者はいるかもしれないが、
全てのバージョンを手に入れたと断言できる者はAntiVirベンダにすらまずいまい。
いわんや、全てのバージョンの挙動を完全に解析/把握したと断言できる者なんぞ。
そうした本質を理解していれば決してそんな質問をするはずはない。
そんな貴方に贈れる言葉は「完全を求めるならクリーンインストールしろ」のみである。論理的に。
- 40 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/23(土) 13:54:31 ]
- レジストリのスタートアップ項目の不審なエントリーを削除。
Documents and Settings\user\Local Settings内の
意味不明なファイル、例えばxxxxx.ydhとかxxxxx.yhdとかないか確認。
怪しいファイルがあったらリネームかデスクトップ等に移動してみる。
移動できなかったり、移動できても、すぐに復活するようなら完治してない。
- 41 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/23(土) 21:13:22 ]
- 探したらaux2ってのあったけど?これは?
パスに設定されたtmpファイルはもうありませんでした
- 42 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/23(土) 21:57:16 ]
- >>41
もっとも普通に考えられるのは、駆除済み状態
徹底的に神経質になるなら、外付けブートして、そのフルパスが生きてないことを確認する
それでみつかるなら、GENO系には単体でルートキット性能はないので、複合感染か亜種感染。
>>39
厳しいのう。
でも、ま、なにかあるたびに、さくっとWindows再インスコできる態勢ってのは、ある意味最強だね
いやほんと。ネット端末は2時間でフルインスコできるよって人は、環境を放棄する決断が早いw
>>38
ポジティブにいえば、【たぶん】それでおk ただし、複合感染してたら、その分は別途対策してね
- 43 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/23(土) 22:02:17 ]
- びくびくしながら使うぐらいないら、黙って再インストしとけ。
安心して使えることが一番大事だ。
- 44 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/23(土) 22:05:06 ]
- ・パソコン内の改変・乗っ取り
・FTP ID/PASS抜き
両方修正しないといけないからな。。。
- 45 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 10:28:24 ]
- やっと落ち着き始めたみたいね
- 46 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 10:31:37 ]
- >>42
再インスコまでしなくてもTIなりを使って復元すれば良いだけ。
時間も再インスコほどはかからん。
定期的にバックアップするのを苦にするなら再インスコしかない。
利便性と安全性は反比例するものだ。
- 47 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 11:18:13 ]
- 直前までのメールとか、ブクマとかを放棄しろっていうのを、どこまで初心者ができるかになるんだよな
イメージバックアップの数少ない弱点ではある
- 48 名前: ◆f/iQdjPxCM mailto:sage [2009/05/24(日) 22:11:30 ]
- ここに移ってみるテスト。
WSH版の方に期待しつつ、WSH版では厳しいかなという辺りの提起を試みてみる。
drv32listdotdotexist_v001.LZH
ttp://www1.axfc.net/uploader/Sc/so/3917
testDRV32LST
SIZE (drv32listdotdotexist.exe) = 5120
MD5 (drv32listdotdotexist.exe) = 6695895f4d990f4c74ee172baa39b853
SHA1 (drv32listdotdotexist.exe) = 8eb02929e5a16633b3370ee44aad818f74054b75
SHA256 (drv32listdotdotexist.exe) = c48700c1e325b8e94dec507be147df65a8acf558607f0083e7a5a5ad8f8aeb4e
SHA512 (drv32listdotdotexist.exe) = 99e619da205173dae328f48aaa259d58a0bb6e42451c2192c0f0b4431e3de141054a097152758d68cbae18102a4779aa525e0e3af2e965fc10e3c910f430eb02
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の値(auxとかmidiとか)で、REG_SZ(だけでいいと思うが一応REG_EXPAND_SZも)
かつ \..\ を含み、かつ ファイルが実際に存在するものの列挙をファイルに保存。
普通に考えるとWSHで充分可能な内容だと思われるわけだが、
・Administrators所属のuser1で感染、aux2 辺りに
C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo
とある。
・Usersのみに所属のuser2でdrv32listdotdotexist.exeを実行。
という時にも、C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo の存否を
正しく判定できるはずなんだな。
これはWSHだとちと厳しいんじゃなかろうかと思うがそうでもないのかね。
まぁ、zlkon系自体は犯人の活動再開があるなら、
今度は亜種ではなくガラっと変えて来そうな世情になってきた感はあるけども、
今後の各AntiVirベンダの製品の検出能力が追いつくまでのタイムラグ全般に
どの程度のことができ得るのかというのを、zlkon系をサンプル事例と捉えて
うだうだと検討してみるような何か。
- 49 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 23:19:09 ]
- >>48
乙w
- 50 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 23:23:02 ]
- とりあえず移動おつー
WSH版は、しゃーないからやってみだしたことであって、ネイティブ常に最強w
やっぱりたのしいのはC++&インライン汗でしょ
雑談。\..\ は、実行位置によっては、必ず出現するわけじゃないですw
%temp%\..\ になりやすいのは、%temp% で実行されるからなんでしょうね
ルートディレクトリで実行されると、ルートに本体を吐きます
これは試してはないのですけど、anubis の自動実行ログを見るとわかると
- 51 名前: ◆f/iQdjPxCM mailto:sage [2009/05/24(日) 23:38:22 ]
- >>50
ごめん、俺、C++じゃなくてCで書いてるw
VC++じゃなくてmingw32なのでソース出せば金銭的な敷居はなしに
バイナリ再現実験もできるはずだったりはする。
一応、
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
は見て、
> - Registry Values Modified:
で
> Key
> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
> Name
> aux
> New Value
> C:\..\bgrn.mym
となってるのを当てにしてたりする。
まぁ、「%SystemRoot%の外」という条件の方がベターかもですね。
- 52 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/24(日) 23:47:27 ]
- あれwww > X:\..\
そうかキーのほうは、いつも\..\ がでるのかw 見落としてたw
あーたぶんそうだろうなーとw > mingw32
VC++も最近は、コマンドラインコンパイルセットはほぼ制限なく無償で手に入りますよ
PSDK にバンドルされてきます どっちも使えるようにしておくと便利かもです
- 53 名前: ◆f/iQdjPxCM mailto:sage [2009/05/25(月) 00:15:21 ]
- ん?あぁ、ちょうどあっちがああなのね……。
>>52
まぁ、何にせよ\..\がない亜種が存在しなかったと断言することはできないわけですがw
んー、コンパイラの癖まで見なくても、
GENOdetect/envinfoの頃はスタートアップコードをリンクしてましたからね。
mingw32な理由の第一は単に慣れてるからですが、
スタートアップコードまで手を入れて削れるのが、
逆汗して読む人向けに余計なコード削れていいかなぁ、とか。
VC++EEもスタートアップコードのソース付いてくるんだっけ?
まぁ、結局スタートアップコード自体リンクしないようにしてしまったのであれですが。
- 54 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/25(月) 08:11:45 ]
- おおっ、vtフルクリアw
スタートアップコードを削ると、結構ヒューリスティックにひっかかるのですがw
VCのライブラリソースは、製品版以上ですねー
ただし、評価版に、特にロックなく付属してくるので、緊急事態のときは参照できる退路はあります
- 55 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/25(月) 08:53:44 ]
- >>48
2月っからずっと変わってないけど
- 56 名前: ◆f/iQdjPxCM mailto:sage [2009/05/26(火) 23:21:59 ]
- >>55
んーと、常駐部を登録するコードが変化なしあるいは\..\を入れるという挙動が変化なし
ということかな。
まぁ、これまでそうだったとして、
今後もその犯人がそれだけであり続けるとは限らないし、ということで。
>>54
うーん、mingw32なのがいいのかなぁ……。 < ヒューリスティック
それよりは、C++だとライブラリはさておき、言語仕様的な面で
スタートアップコードでの初期処理必須な部分がいろいろあろうから、
それが削られてその不足から不可解と判断されてそうな気もしないでもない。
とかテキトーなこと言ってみる。
- 57 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/05/26(火) 23:25:05 ]
- 雑談。C/C++どっちでも、スタートアップコードはかわらんですw
かわるというか、例外まわりとか、RTTIまわりでリンクされる関数が増えます
- 58 名前: ◆f/iQdjPxCM mailto:sage [2009/05/27(水) 03:01:39 ]
- mingw32でもスタートアップコード自体は共通なんだけど、
あー、とりあえずmingw32とは少々違うアプローチっぽい感じなんだな、きっと。
何にせよ、mingw32よりはVC++の方がネイティブな実装になってるだろうけど、
それでもC++はCより削れない処理が増えそうなイメージ。
例外やRTTIはg++で言う-fno-exception -fno-rtti 的なオプションで忘れられそう
だけど、new(/delete)の(後始末の)準備とか。
てことはやっぱり、PEヘッダの違いとか、セクション名(.idataとか)なんかで
VC++ではない判定されて緩くなっとるんかのぉ。
それはそれでなんじゃらほいな気はするが……。
|
 |
