タグ別アーカイブ: アンチウィルス

22. おそろしや rootkit

このパソコンにはたくさんのウィルスメールが送られてきます。いろいろなサイトも積極的にアクセスします。有償・無償をふくめいろいろなアンチウィルスソフトを渡り歩いています。

ウィルスに感染しそうになることは何度もありましたが、水際でアンチウィルスソフトが止めてくれました。自分でも危なそうなサイトやメールは避けてきたつもりです。

いままで大過なく過ごしてきました。

ところが今回奈落の底へ落とされました。

当初は、ウォルス感染の自覚症状はありませんでした。むしろWindowsXPの不調を考えていました。
日がたつにつれておかしいと感じいろいろと調べ始めます。
ウィルス情報を中心に調べますが、抽象的な現象からウィルスを調べることがいかに困難かを思い知ることになります。
検索過程で出会う「名もなき同士」が赤子のような扱いを受けていたことには忸怩たる思いもありました。
アンチウィルス会社も「そのような事例は把握していない」というつれないものばかりです。私も確信がないことから「本サイトとの情報を参考にしてください」とメールするのが関の山でした。

ふたを開けてみれば、一部では有名なrootkitでした。
このrootkitはウィルスと呼ぶにはあまりに強力なものでした。
rootkitがいかに強敵であるかは今回のブログでご紹介できたと思います。

みなさんのお役に立てることを願っています。

2008年12月22日 15:19:18

17. SDFix 結果編

SDFixの処理の結果、rootkitが発見され駆除されたように見えますが、いやなメッセージも見えます。

まずは、最初のログになる「Report_1.txt」です。

ファイルをチェックして、トロイを見つけ削除したようです。

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\***\LOCALS~1\Temp\tmp1.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp12.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1A.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp2.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp3.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpA.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpB.tmp – Deleted
C:\WINDOWS\system32\TDSSbrsr.dll – Deleted
C:\WINDOWS\system32\TDSSriqp.dll – Deleted
C:\WINDOWS\system32\TDSSxfum.dll – Deleted
C:\WINDOWS\system32\TDSSlxwp.dll – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\system32\TDSStkdu.log – Deleted

ところが、削除できなかったものがあるようです。

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

さらに、よくわからないエラーメッセージが出ています
「disk error」がいやな感じがします。しかし、この対象はレジストリファイルのような気がしますのでWindowsXPが起動中は処理できなかったことを示しているようにも見えます。

scanning hidden processes …
scanning hidden services & system hive …
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries …
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\***\ntuser.dat, 0
scanning hidden files …
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan

このあと、レジストリのエクスポートについてのメッセージが複数あります
Authorized Application Key Export:

そして、最もいなやメッセージです
TDSSのファイルが残ったということです

[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoiqh.dll Found

ファイルをバックアップし、ファイルの属性についてのメッセージがあり、終了しました。
File Backups: – C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]

これでは、「TDSSoiqh.dll」を残したままになります。そこで、SDFixは自動的に再起動したのだと思います。

では、再起動後おログになる「Report.txt」です。

[b]Checking Files [/b]:

Trojan Files Found:

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

のメッセージの後は前回とほぼ同じです。
今回も「TDSSoiqh.dll」を削除することが出来なかったということです。

少々不安がありますが、処理結果の確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

あともう少しのようですが完全ではありません。
そこで、もういちどSDFixに処理をしてもらいこうとにしました。

2008年12月22日 12:14:27

14. rootkitの恐ろしさ

ステルス状態にありますから、私たち人間はその存在を確認することが出来ません。これはWindowsXPを通して動作するアンチウィルスソフトも同じようです。
WindowsXP上では、ウィルスの存在が確認できませんから、ウォルス検知が出来ませんし、駆除することも出来ません。
アンチウィルスソフトでは、rootkitを派遣駆除することが出来ないことがわかりました。

では、どうすればよいか調べました。
すでに先人たちがいろいろな経験と情報を残してくれています。

rootkit駆除ソフトにも相性があるようです。
侵されているウィルス、パソコン環境、などにより簡単に出来たり手こずったり、あるいはウィルス駆除がうまくいったりいかなかったり、と様々なようです。これらの情報の中から、信頼されて広く使われており、操作が簡単なものを選んでみました。

そういう視点で私が選んだのは
SDFix、Malwarebytes’ Anti-Malware、ComboFix、でした。

さて、これをはじめることとします。

2008年12月21日 18:19:31

10. 起動時に何をしている?

WindowsXPの再起動したときにメッセージが出ました
メッセージは、「ログ3」(下記)です

http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

WindowsXPの起動時に何かを送ろうとしています

「Generic Host Process for Win32 Services」ですからあのよくわからない「svchost」です
つまり、サービスとして起動された何かがウィルスに犯されており、「svchost」によって起動されたときと、インタネット・エクスプローラでキーボードから入力したものをpostしたときに、フィッシングサイトに何かを送っているようです

「Generic Host Process for Win32 Services」は実態がよくわからないですからここから先は自力で進めるのはしんどいです
レジストリのサービス(サービス起動)の記載や、プロセスリストに表示されている状態では不信なものはありません。

ウィルスとして憑いているか、わからないようにステルスしているか
う~ん、堂々巡り、ここから先がわからない、踏み込めない

あいかわらずアンチウィルス会社の本家サイトはアクセスできません
このパソコンではいまだにウィルスが活動しています

2008年12月19日 20:07:19

09. 容疑者さえも逮捕できず

犯行の様子がわかってきましたが、犯人どころか容疑者さえも逮捕できません

あれからいろいろとアンチウィルスソフトで検出を試みましたがうまくいきませんでした。
今日、カスペルスキーで犯行(フィッシング)が行われていることを認識することできました。
しかし、犯人(フィシングをさせている実態)を特定できていませんから駆除ができません。

この犯行を未然に防ぐことができませんでしたし、いまだに駆除もできないのは残念至極です
ウィルス対策に100%がないことは認識し一定の理解もしていますが、自分がその最前線に来てしまったようです
罰すべきはウィルスをばらまく輩です チクショー(畜生! チキショー?)

ログの「tdss2」の文字列から、かつてばらまかれたトロイのようにも見えます。
だとするとカスペルスキーをはじめ多くのアンチウィルスソフトが駆除できてもいいように思います。

最近出た亜種だとしても、ヒューリスティック分析機能を持っていれば何らかの認識を持ってもいいように思います。
ただ、情報が極めて少なく(つまり私とネット上の4人)とても広く流通しているとは思えませんのでそこまで望むべきではないのかもしれません

現状では隔世の感があります

「きわめて出来の悪い流通方法に乗った、極めて出来のいいウィルスに、極めて初期の段階で、感染してしまった」って感じです
この中途半端な状態から早く脱出したい

これだけ打ちのめされているのにこの感覚を共有できているのは私とネット上の4人だけです
ネット上でまったく話題になっていないのがうそのようです
ネットで最初に遭遇した名もなき2人は、暗中模索のなか救いの手を伸ばしていましたが世間の風は冷たく吹いていました
2chで遭遇した3人目もだれにも声をかけてもらえませんでした
親切な人に悩みを聞いてもらえた4人目も暗礁に乗り上げたままのようです(WindowsXPのクリアインストールの方向で考えていたようですが・・・)
みんなこのページにたどり着いてくれれば少しは安心できるかもしれません

ただ、解決はしてません!
あしからず

2008年12月19日 18:12:38

06. 問題を再度整理してみる

問題を再度整理してみる

(1)ブラウザでネットを徘徊していると急にレスポンスが悪くなる
(2)ブラウザはIE7に限らない
(3)ブラウザの再起動ではレスポンス悪化は解決しない
(4)パソコンの再起動でのみレスポンス悪化は解決する
(5)アンチウィルスソフトのオンラインアップデートができない
(6)ブラウザでアンチウィルスソフト会社のサーバの海外サイト(comなど)にドメイン名でアクセスできない
(7)ブラウザでアンチウィルスソフト会社のサーバの日本サイト(jpなど)にはドメイン名でアクセスできる
(8)ブラウザでアンチウィルスソフト会社のサーバの海外サイト(comなど)にIPアドレスではアクセスできる
(9)マイクロソフトのダウンロードができない(download.microsoft.comへのアクセス)
(10)マイクロソフトのサポート技術情報にアクセスできない(http://support.microsoft.com/へのアクセス)
(11)アクセスできない理由は接続先サーバから応答がないという理由になる
(12)上記以外のほとんどすべてのサイトには通常通りアクセスすることができる
(13)nslookupではすべてのサイトの名前を解決することはできる
(14)TASKMGRなどで観察する限りではウィルスが動作している形跡はない
(15)レジストリ、スタートアップ、サービス、などに不審な記載はない
(16)hosts、proxy、ファイアウォール、などのユーザ設定部分に不審な記載はない
(17)アンチウィルスソフトやアンチスパイソフトでは検出できていない
(18)このような現象に遭遇している人が非常にわずかではあるが存在する

検証
(1)「ブラウザ等のTCP/IPアプリケーション」にドメイン名で接続要求が行われる
(2)「ブラウザ等のTCP/IPアプリケーション」はWindowsXPに実装されている「TCP/IPプロトコルスタック」に名前解決を依頼する
(3)依頼を受けた「TCP/IPプロトコルスタック」はあらかじめ指定されている「DNSサーバ」へ無条件に問い合わせる
(4)インターネット上のDNSシステムを含む「DNSサーバ」がドメイン名からIPアドレスへの名前解決を行う
(5)「DNSサーバ」から「TCP/IPプロトコルスタック」に返される
(6)「TCP/IPプロトコルスタック」は受け取った名前解決の結果(IPアドレス)を「ブラウザ等のTCP/IPアプリケーション」に返す
(7)「ブラウザ等のTCP/IPアプリケーション」は名前解決の結果(IPアドレス)でサーバに接続要求をする

さて、どこに問題があるのでしょう

推測
WindowsXPのTCP/IPの名前解決のうちドメイン名からIPアドレスに変換する部分で正常な動作を妨げるウィルスが存在する

2008年12月18日 09:44:01