作成者別アーカイブ: bonzo

19. SDFix 再結果編

さきほど残った「TDSSoiqh.dll」がうまく削除されていることを願いつつ、新しく作成された「Report.txt」を開きます。

予想に反して、まったく別の展開になっていました。

[b]Name [/b]:
TDSSserv.sys

[b]Path [/b]:
\systemroot\system32\drivers\TDSSmqlt.sys

TDSSserv.sys – Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\drivers\TDSSmqlt.sys – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVD.dat – Deleted

「TDSSoiqh.dll」については、まったく触れられていません。しかし、TDSSの核になる名前「TDSSserv.sys」が出てきました。
そしてよくわかりませんが、関係するファイルを削除し、削除できなかったファイルがないようです。

このあと、相当量のレジストリに関するメッセージが出力されます。

scanning hidden services & system hive …

scanning hidden registry entries …

そして、

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

さらに、

[b]Remaining Services [/b]:

[b]Remaining Files [/b]:

の後には記載がありません。
最後に、

[b]Finished![/b]

予想していた展開とは違いますが、なんかうまくいったように見えます。

さて、確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

前回から進歩がありません。

確認のため「regedit」を使ってTDSSを検索してみます。すると、なにやら「TDSS系」レジストリがいくつかあります。中にはTDSSserv.sys」まで検索されました。いままではレジストリの検索でも引っかからなかった「TDSS」ですが、SDFixにより表に出てきたという感じです。「TDSSserv.sys」のレジストリキーを思い切って削除してみましたが、「regedit」にダメだといわれました。

結構いいところまでいったつもりでしたが、新たに出現した次の障壁にぶつかったようでした。ここでSDFixのつぎの手として「Malwarebytes’ Anti-Malware」に出動を要請することにしました。

2008年12月22日 14:00:07

18. SDFix 再処理編

今回は、SDFixはすでにインストールされているのでセーフモードによる再起動からです。

セーフモードでの再起動の後、「SDFix 処理編」と同様の操作を行う。
今回も、予想に反してSDFixによる再起動は2回でした。

2008年12月22日 13:52:07

17. SDFix 結果編

SDFixの処理の結果、rootkitが発見され駆除されたように見えますが、いやなメッセージも見えます。

まずは、最初のログになる「Report_1.txt」です。

ファイルをチェックして、トロイを見つけ削除したようです。

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\***\LOCALS~1\Temp\tmp1.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp12.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1A.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp2.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp3.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpA.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpB.tmp – Deleted
C:\WINDOWS\system32\TDSSbrsr.dll – Deleted
C:\WINDOWS\system32\TDSSriqp.dll – Deleted
C:\WINDOWS\system32\TDSSxfum.dll – Deleted
C:\WINDOWS\system32\TDSSlxwp.dll – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\system32\TDSStkdu.log – Deleted

ところが、削除できなかったものがあるようです。

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

さらに、よくわからないエラーメッセージが出ています
「disk error」がいやな感じがします。しかし、この対象はレジストリファイルのような気がしますのでWindowsXPが起動中は処理できなかったことを示しているようにも見えます。

scanning hidden processes …
scanning hidden services & system hive …
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries …
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\***\ntuser.dat, 0
scanning hidden files …
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan

このあと、レジストリのエクスポートについてのメッセージが複数あります
Authorized Application Key Export:

そして、最もいなやメッセージです
TDSSのファイルが残ったということです

[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoiqh.dll Found

ファイルをバックアップし、ファイルの属性についてのメッセージがあり、終了しました。
File Backups: – C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]

これでは、「TDSSoiqh.dll」を残したままになります。そこで、SDFixは自動的に再起動したのだと思います。

では、再起動後おログになる「Report.txt」です。

[b]Checking Files [/b]:

Trojan Files Found:

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

のメッセージの後は前回とほぼ同じです。
今回も「TDSSoiqh.dll」を削除することが出来なかったということです。

少々不安がありますが、処理結果の確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

あともう少しのようですが完全ではありません。
そこで、もういちどSDFixに処理をしてもらいこうとにしました。

2008年12月22日 12:14:27

16. SDFix 処理編

まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。

しかし、初っ端からなんか不気味な感じで始まります。

念のためカスペルスキーを停止します。

SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。

SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。

これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)

予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。

再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。

さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。

2008年12月22日 11:40:06

15. 完全に駆除しました

完全に駆除しました。
終了です。
長かったです。

さて、ここからは完全にきれいになったパソコンからrootkitを駆除した手順を記します。

SDFix、Malwarebytes’ Anti-Malware、ComboFix、をダウンロードして準備します。
実際は、SDFix、Malwarebytes’ Anti-Malwareの2つで駆除できましたのでこの2つをダウンロードして準備します。

ここからは、以下のサイトを参考にさせていただきました

AndyManchesta
(セキュリティツールに関する情報がたくさんありました)
http://andymanchesta.com/

被害対策.com
(いわゆるもと「アダ被」です)
http://www.higaitaisaku.com/

SDFix(SDFix.exe)のダウンロード
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm

Malwarebytes’ Anti-Malware(mbam-setup.exe)のダウンロード
http://www.malwarebytes.org/index.php
ダウンロードサイトは
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

今回は、ここのツールをダウンロードして使いました。
しかし、かなり強力なセキュリティツールですから今後利用される方はくれぐれもセキュリティに配慮してダウンロードおよび利用してください。

2008年12月22日 10:54:08

14. rootkitの恐ろしさ

ステルス状態にありますから、私たち人間はその存在を確認することが出来ません。これはWindowsXPを通して動作するアンチウィルスソフトも同じようです。
WindowsXP上では、ウィルスの存在が確認できませんから、ウォルス検知が出来ませんし、駆除することも出来ません。
アンチウィルスソフトでは、rootkitを派遣駆除することが出来ないことがわかりました。

では、どうすればよいか調べました。
すでに先人たちがいろいろな経験と情報を残してくれています。

rootkit駆除ソフトにも相性があるようです。
侵されているウィルス、パソコン環境、などにより簡単に出来たり手こずったり、あるいはウィルス駆除がうまくいったりいかなかったり、と様々なようです。これらの情報の中から、信頼されて広く使われており、操作が簡単なものを選んでみました。

そういう視点で私が選んだのは
SDFix、Malwarebytes’ Anti-Malware、ComboFix、でした。

さて、これをはじめることとします。

2008年12月21日 18:19:31

13. TDSSで決まりです

いろいろな現象やWindowsXPの現況とフィッシングのログに出てくる「TDSS」の文字列を考えると「WinAntivirus2009」の亜種であることはほぼ間違えないでしょう。

そして、さらに決定的なのは、

「TDSS」の名前を持つファイルを消すことを実証できたためです。

たとえば、エクスプローラを起動してCドライブのルート直下を指定します。この位置で「新規作成」ー「テキスト ドキュメント」によってに「TDSS.txt」のファイルを新規に作成します。すると、作成してまもなく「TDSS.txt」のファイル名がすっと消え、やがてアイコンもすっと消え、エクスプローラ上から「TDSS.txt」が消えてしまうのです。
その消え方がまるで幽霊のようにすーっと消えていきます。
すごい!!
これは消えたのではなく、WindowsXPから見えなくなっているということです。まさにステルス状態です。
実際に、同じルート直下に続けて「TDSS.txt」を同じようにして作成すると「指定された名前はすでに存在します。別の名前を指定してください」を警告を受けます。
WindowsXPは、ディスク上にそのファイルの存在は確認できるものの私たち人間やアプリケーションには見せることが出来ないのです。

これで、TDSS系のステルスウィルスに感染していることがわかりました。相手がやっとわかったのです。これで怒涛の一直線です。

2008年12月21日 18:05:43

12. WinAntivirus2009っか

2chに「WinAntivirus2009」について書いている板があったので見てみると現象がそっくりである。

やっと、仲間がいた。
今年の夏ぐらいから一部では問題になっていたのですね。

これで解決かと思いきや亜種がたくさんあり、きちんとひとつづつ潰していく対策が必要なようです。
さらっと流し見た感じでは、該当するファイルの構成が私のパソコンでは見当たらない。
一方で、ステルス状態についていろいろと書かれているので、可視出来る状況だけで判断することも出来ない。

とにかく腰をすえて対策を考えてみよう

おそるべき「WinAntivirus2009」
おそるべし 2ch
がんばれアンチウィルスソフト

2008年12月20日 17:02:40

11. フィッシングサイト問い合わせ

フィッシングについては、「ユーザが気づかないようにだましのホームページへアクセスさせ入力データから情報を盗み取る」というぐらいの知識しか持ち合わしていません。

っで、起動時にこのウィルスが何をしているか
WindowsXPのネットワーク系のサービスにとり憑いたと考えられるウィルスがWindowsXPの起動とともに開始されるサービスによって活性化し、最初にフィッシングサイトの問い合わせプロトコルを行うのではないかと考えました。
そういう視点でログを見てみると、ウィルスはWindowsXPの起動直後に以下のような送信を行いカスペルスキーに拒否されています。

「ログA」
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース

「ログB」
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 検知しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 遮断しました: 64.69.33.135/* データベース

「ログC」
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 64.69.33.135/* データベース

「ログD」
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 70.86.6.246/* データベース
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 70.86.6.246/* データベース

「ログE」
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: yournewsblog.net/* データベース
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: yournewsblog.net/* データベース

64.69.33.135 = sbt3.superbuytires.com
70.86.6.246 = yournewsblog.net

「yournewsblog.net」は、ネットで検索すると「findsproportal1.com」と同列のサイトのようです。

ところが、「superbuytires.com」は車のタイヤを売っている普通のショッピングサイトに見えます。このサイトについてコメントしている日本のタイヤマニアもいます。どうもフィッシングサイトには見えません。だからこそ怪しいとも見えてしまいます。
一方、「sbt3.superbuytires.com」は、NSレコードではなくAレコードとして登録しているようです。

結局、このプロトコルの意味はわかりませんでした。

ただ、各サイトとも迷わず「tdss」または「tdss2」の「crdcmds」の「main」に向けてアクセスしています
システマティックな環境を想像させます。

2008年12月20日 15:37:08

10. 起動時に何をしている?

WindowsXPの再起動したときにメッセージが出ました
メッセージは、「ログ3」(下記)です

http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

WindowsXPの起動時に何かを送ろうとしています

「Generic Host Process for Win32 Services」ですからあのよくわからない「svchost」です
つまり、サービスとして起動された何かがウィルスに犯されており、「svchost」によって起動されたときと、インタネット・エクスプローラでキーボードから入力したものをpostしたときに、フィッシングサイトに何かを送っているようです

「Generic Host Process for Win32 Services」は実態がよくわからないですからここから先は自力で進めるのはしんどいです
レジストリのサービス(サービス起動)の記載や、プロセスリストに表示されている状態では不信なものはありません。

ウィルスとして憑いているか、わからないようにステルスしているか
う~ん、堂々巡り、ここから先がわからない、踏み込めない

あいかわらずアンチウィルス会社の本家サイトはアクセスできません
このパソコンではいまだにウィルスが活動しています

2008年12月19日 20:07:19