カテゴリー別アーカイブ: 2008 ウィルス感染

14. rootkitの恐ろしさ

ステルス状態にありますから、私たち人間はその存在を確認することが出来ません。これはWindowsXPを通して動作するアンチウィルスソフトも同じようです。
WindowsXP上では、ウィルスの存在が確認できませんから、ウォルス検知が出来ませんし、駆除することも出来ません。
アンチウィルスソフトでは、rootkitを派遣駆除することが出来ないことがわかりました。

では、どうすればよいか調べました。
すでに先人たちがいろいろな経験と情報を残してくれています。

rootkit駆除ソフトにも相性があるようです。
侵されているウィルス、パソコン環境、などにより簡単に出来たり手こずったり、あるいはウィルス駆除がうまくいったりいかなかったり、と様々なようです。これらの情報の中から、信頼されて広く使われており、操作が簡単なものを選んでみました。

そういう視点で私が選んだのは
SDFix、Malwarebytes’ Anti-Malware、ComboFix、でした。

さて、これをはじめることとします。

2008年12月21日 18:19:31

13. TDSSで決まりです

いろいろな現象やWindowsXPの現況とフィッシングのログに出てくる「TDSS」の文字列を考えると「WinAntivirus2009」の亜種であることはほぼ間違えないでしょう。

そして、さらに決定的なのは、

「TDSS」の名前を持つファイルを消すことを実証できたためです。

たとえば、エクスプローラを起動してCドライブのルート直下を指定します。この位置で「新規作成」ー「テキスト ドキュメント」によってに「TDSS.txt」のファイルを新規に作成します。すると、作成してまもなく「TDSS.txt」のファイル名がすっと消え、やがてアイコンもすっと消え、エクスプローラ上から「TDSS.txt」が消えてしまうのです。
その消え方がまるで幽霊のようにすーっと消えていきます。
すごい!!
これは消えたのではなく、WindowsXPから見えなくなっているということです。まさにステルス状態です。
実際に、同じルート直下に続けて「TDSS.txt」を同じようにして作成すると「指定された名前はすでに存在します。別の名前を指定してください」を警告を受けます。
WindowsXPは、ディスク上にそのファイルの存在は確認できるものの私たち人間やアプリケーションには見せることが出来ないのです。

これで、TDSS系のステルスウィルスに感染していることがわかりました。相手がやっとわかったのです。これで怒涛の一直線です。

2008年12月21日 18:05:43

12. WinAntivirus2009っか

2chに「WinAntivirus2009」について書いている板があったので見てみると現象がそっくりである。

やっと、仲間がいた。
今年の夏ぐらいから一部では問題になっていたのですね。

これで解決かと思いきや亜種がたくさんあり、きちんとひとつづつ潰していく対策が必要なようです。
さらっと流し見た感じでは、該当するファイルの構成が私のパソコンでは見当たらない。
一方で、ステルス状態についていろいろと書かれているので、可視出来る状況だけで判断することも出来ない。

とにかく腰をすえて対策を考えてみよう

おそるべき「WinAntivirus2009」
おそるべし 2ch
がんばれアンチウィルスソフト

2008年12月20日 17:02:40

11. フィッシングサイト問い合わせ

フィッシングについては、「ユーザが気づかないようにだましのホームページへアクセスさせ入力データから情報を盗み取る」というぐらいの知識しか持ち合わしていません。

っで、起動時にこのウィルスが何をしているか
WindowsXPのネットワーク系のサービスにとり憑いたと考えられるウィルスがWindowsXPの起動とともに開始されるサービスによって活性化し、最初にフィッシングサイトの問い合わせプロトコルを行うのではないかと考えました。
そういう視点でログを見てみると、ウィルスはWindowsXPの起動直後に以下のような送信を行いカスペルスキーに拒否されています。

「ログA」
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース

「ログB」
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 検知しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 遮断しました: 64.69.33.135/* データベース

「ログC」
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 64.69.33.135/* データベース

「ログD」
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 70.86.6.246/* データベース
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 70.86.6.246/* データベース

「ログE」
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: yournewsblog.net/* データベース
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: yournewsblog.net/* データベース

64.69.33.135 = sbt3.superbuytires.com
70.86.6.246 = yournewsblog.net

「yournewsblog.net」は、ネットで検索すると「findsproportal1.com」と同列のサイトのようです。

ところが、「superbuytires.com」は車のタイヤを売っている普通のショッピングサイトに見えます。このサイトについてコメントしている日本のタイヤマニアもいます。どうもフィッシングサイトには見えません。だからこそ怪しいとも見えてしまいます。
一方、「sbt3.superbuytires.com」は、NSレコードではなくAレコードとして登録しているようです。

結局、このプロトコルの意味はわかりませんでした。

ただ、各サイトとも迷わず「tdss」または「tdss2」の「crdcmds」の「main」に向けてアクセスしています
システマティックな環境を想像させます。

2008年12月20日 15:37:08

10. 起動時に何をしている?

WindowsXPの再起動したときにメッセージが出ました
メッセージは、「ログ3」(下記)です

http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

WindowsXPの起動時に何かを送ろうとしています

「Generic Host Process for Win32 Services」ですからあのよくわからない「svchost」です
つまり、サービスとして起動された何かがウィルスに犯されており、「svchost」によって起動されたときと、インタネット・エクスプローラでキーボードから入力したものをpostしたときに、フィッシングサイトに何かを送っているようです

「Generic Host Process for Win32 Services」は実態がよくわからないですからここから先は自力で進めるのはしんどいです
レジストリのサービス(サービス起動)の記載や、プロセスリストに表示されている状態では不信なものはありません。

ウィルスとして憑いているか、わからないようにステルスしているか
う~ん、堂々巡り、ここから先がわからない、踏み込めない

あいかわらずアンチウィルス会社の本家サイトはアクセスできません
このパソコンではいまだにウィルスが活動しています

2008年12月19日 20:07:19

09. 容疑者さえも逮捕できず

犯行の様子がわかってきましたが、犯人どころか容疑者さえも逮捕できません

あれからいろいろとアンチウィルスソフトで検出を試みましたがうまくいきませんでした。
今日、カスペルスキーで犯行(フィッシング)が行われていることを認識することできました。
しかし、犯人(フィシングをさせている実態)を特定できていませんから駆除ができません。

この犯行を未然に防ぐことができませんでしたし、いまだに駆除もできないのは残念至極です
ウィルス対策に100%がないことは認識し一定の理解もしていますが、自分がその最前線に来てしまったようです
罰すべきはウィルスをばらまく輩です チクショー(畜生! チキショー?)

ログの「tdss2」の文字列から、かつてばらまかれたトロイのようにも見えます。
だとするとカスペルスキーをはじめ多くのアンチウィルスソフトが駆除できてもいいように思います。

最近出た亜種だとしても、ヒューリスティック分析機能を持っていれば何らかの認識を持ってもいいように思います。
ただ、情報が極めて少なく(つまり私とネット上の4人)とても広く流通しているとは思えませんのでそこまで望むべきではないのかもしれません

現状では隔世の感があります

「きわめて出来の悪い流通方法に乗った、極めて出来のいいウィルスに、極めて初期の段階で、感染してしまった」って感じです
この中途半端な状態から早く脱出したい

これだけ打ちのめされているのにこの感覚を共有できているのは私とネット上の4人だけです
ネット上でまったく話題になっていないのがうそのようです
ネットで最初に遭遇した名もなき2人は、暗中模索のなか救いの手を伸ばしていましたが世間の風は冷たく吹いていました
2chで遭遇した3人目もだれにも声をかけてもらえませんでした
親切な人に悩みを聞いてもらえた4人目も暗礁に乗り上げたままのようです(WindowsXPのクリアインストールの方向で考えていたようですが・・・)
みんなこのページにたどり着いてくれれば少しは安心できるかもしれません

ただ、解決はしてません!
あしからず

2008年12月19日 18:12:38

08. フィシングサイトにやられました

findsproportal1.com はどうもフィッシングサイトのようです
ただフィッシングサイトにしてはこのサイトに対する情報が非常に少ないです(by Google)
しかも、このサイトについてコメントしている日本語のページがありません(by Google)

カスペルスキーが一応遮断してくれるので少し安心ですが、ルータでもフィルタリングします

findsproportal1.comのipアドレスを逆引きしました
72.233.114.126

このアドレスにかかわるすべての通信を遮断します
これでさらにもう少し安心です

このフィルタを入れた後、Google検索をしたところカスペルスキーの表示が変わりました。ログで確認すると「ログ3」が確認できました

カスペルスキーで遮断しているとはいうものの、完全ではなかったのかもしれません

「ログ2」では明らかに私の入力情報かパソコンの情報をパラメータとして送っています
一方、「ログ3」ではindex.phpにアクセスするところになっています

どっちがいいのかわるいかはわかりません
また、本当にパケットフィルタリングによるものかも確信はありません

いずれにしても、できる限りのことはしておいたほうがいいでしょう

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:11:38

07. 一筋の光明が見えてきました

カスペルスキーのデータベースを最新版に更新できました
(カスペルスキー専用サポートセンターの方にネットワークで更新できない場合の更新方法を親切に教えていただきました)

(ほかのアンチウィルス会社のサポートの方も私のメールに対してご支援をいただいております。この場を借りてお礼を述べさせていただきます)

これで完全スキャンをしました
Office,Winamp,realaudio,quicktime,で脆弱性の指摘を受けました
脆弱性ですからウィルス感染はまだしていないということでしょう
っで、ウィルスですが、・・・発見できませんでした

では、なぜ光明かというと
フィッシングに網に引っかかったのでした

現象を説明します
(1)インターネット・エクスプローラを立ち上げます
(2)空白のページ(私の設定)になります
(3)お気に入りからwww.google.co.jpにアクセスします
(4)googleのトップページが表示されます
(5)ニュースなどリンクをマウスでクリックしてページを移動します
(6)リンクによるページ移動を繰り返します
(7)googleのトップページに戻します
(8)「フィッシング」で検索します
(9)カスペルスキーから「・・・Generic Host Process for Win32 Services・・・遮断しました・・・」のメッセージが表示されます
(10)ログで確認すると「ログ2」が確認できました
(11)さらに気がつきませんでしたがログの最初のほうに「ログ1」も確認できました

インターネット・エクスプローラから「入力されたデータ」を「findsproportal1.com」へ秘密裏にデータを送ろうとしていたのです

<カスペルスキーによる画面の警告表示>

アプリケーション Generic Host Process for Win32 Services はWebページhttp://findxproportal1.com/index.phpへのリンクがあり、クレジットカード番号、パスワード、その他の機密データを盗用しようとする内容が含まれています 遮断しました

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:10:38

06. 問題を再度整理してみる

問題を再度整理してみる

(1)ブラウザでネットを徘徊していると急にレスポンスが悪くなる
(2)ブラウザはIE7に限らない
(3)ブラウザの再起動ではレスポンス悪化は解決しない
(4)パソコンの再起動でのみレスポンス悪化は解決する
(5)アンチウィルスソフトのオンラインアップデートができない
(6)ブラウザでアンチウィルスソフト会社のサーバの海外サイト(comなど)にドメイン名でアクセスできない
(7)ブラウザでアンチウィルスソフト会社のサーバの日本サイト(jpなど)にはドメイン名でアクセスできる
(8)ブラウザでアンチウィルスソフト会社のサーバの海外サイト(comなど)にIPアドレスではアクセスできる
(9)マイクロソフトのダウンロードができない(download.microsoft.comへのアクセス)
(10)マイクロソフトのサポート技術情報にアクセスできない(http://support.microsoft.com/へのアクセス)
(11)アクセスできない理由は接続先サーバから応答がないという理由になる
(12)上記以外のほとんどすべてのサイトには通常通りアクセスすることができる
(13)nslookupではすべてのサイトの名前を解決することはできる
(14)TASKMGRなどで観察する限りではウィルスが動作している形跡はない
(15)レジストリ、スタートアップ、サービス、などに不審な記載はない
(16)hosts、proxy、ファイアウォール、などのユーザ設定部分に不審な記載はない
(17)アンチウィルスソフトやアンチスパイソフトでは検出できていない
(18)このような現象に遭遇している人が非常にわずかではあるが存在する

検証
(1)「ブラウザ等のTCP/IPアプリケーション」にドメイン名で接続要求が行われる
(2)「ブラウザ等のTCP/IPアプリケーション」はWindowsXPに実装されている「TCP/IPプロトコルスタック」に名前解決を依頼する
(3)依頼を受けた「TCP/IPプロトコルスタック」はあらかじめ指定されている「DNSサーバ」へ無条件に問い合わせる
(4)インターネット上のDNSシステムを含む「DNSサーバ」がドメイン名からIPアドレスへの名前解決を行う
(5)「DNSサーバ」から「TCP/IPプロトコルスタック」に返される
(6)「TCP/IPプロトコルスタック」は受け取った名前解決の結果(IPアドレス)を「ブラウザ等のTCP/IPアプリケーション」に返す
(7)「ブラウザ等のTCP/IPアプリケーション」は名前解決の結果(IPアドレス)でサーバに接続要求をする

さて、どこに問題があるのでしょう

推測
WindowsXPのTCP/IPの名前解決のうちドメイン名からIPアドレスに変換する部分で正常な動作を妨げるウィルスが存在する

2008年12月18日 09:44:01

05. 何かがいます

やはり、IE7が重い
少々酷使したらとてつもなく重い

Googleで検索して、見てみたいページをCTRL+クリックでいくつも開いていく(10タブぐらい)
開いたタブを見終わるごとに閉じて、次のタブに移る
開いたタブを全部見終わったらGoogleの検索結果に戻る
検索結果から満足なHPが見つかるまでこれを繰り返す

これをしているとIE7はメモリ管理がうまくいっていないため、使用メモリが巨大化し動作が緩慢になる
これを解消するにはIE7をいったん終了し再起動すればよい
再起動したIE7はコンパクトなメモリ使用量となり動きも元に戻る

ところが今回は使用メモリが巨大化する前にHPの表示が極端に遅くなる
広告やリンクなどのイメージデータがたくさん張り付いたブログにアクセスしたときに顕著である
ページ全体が表示されるのに相当時間がかかるが、その間CPUはほとんど使用していない
メモリも巨大化と呼ぶにはまだ余裕がある状態である

広告やリンクなどのイメージデータはそれぞれ別のドメインのサーバ上にあるようだ
ここで推測、
私は1ページを参照しようとしているが、ブラウザは相当たくさんの数のサーバから別々にいろいろなデータを持ってきているのでサーバの数だけ名前解決が必要となる
そうです!
このパソコンの中で名前解決に時間がかかっているのです
このプロセスは出来が悪いようで名前解決の効率が悪く、負荷がたかくなりブラウザに対してタイムアウト(ほとんどフリーズ)を起こすようです

データの転送時間、サーバの負荷、このパソコンのブラウザの処理時間、のどれもたいした負荷はかかっていないのです
データの転送時間は回線の処理試験から感覚的に導き出します
サーバの負荷は別のノートパソコンで同時にサイトにアクセスすればわかります
パソコンのブラウザの処理時間はパソコンのCPU負荷を見ていればわかります

この状態でIE7を終了し、新規にfirefoxでアクセスしても状況は変わりません
さらにfirefoxを終了し、再びIE7を起動しメモリ使用量が最小の状態でも状況は変わりません
この状態だととてつもなく遅いレスポンスとなります

このパソコンのブラウザとわたしが訪れるWebサーバの間にはよからぬものが何かいます
また確信しました
しかし成す術がありません

2008年12月17日 10:37:37