タグ別アーカイブ: パケットフィルタリング

08. フィシングサイトにやられました

findsproportal1.com はどうもフィッシングサイトのようです
ただフィッシングサイトにしてはこのサイトに対する情報が非常に少ないです(by Google)
しかも、このサイトについてコメントしている日本語のページがありません(by Google)

カスペルスキーが一応遮断してくれるので少し安心ですが、ルータでもフィルタリングします

findsproportal1.comのipアドレスを逆引きしました
72.233.114.126

このアドレスにかかわるすべての通信を遮断します
これでさらにもう少し安心です

このフィルタを入れた後、Google検索をしたところカスペルスキーの表示が変わりました。ログで確認すると「ログ3」が確認できました

カスペルスキーで遮断しているとはいうものの、完全ではなかったのかもしれません

「ログ2」では明らかに私の入力情報かパソコンの情報をパラメータとして送っています
一方、「ログ3」ではindex.phpにアクセスするところになっています

どっちがいいのかわるいかはわかりません
また、本当にパケットフィルタリングによるものかも確信はありません

いずれにしても、できる限りのことはしておいたほうがいいでしょう

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:11:38

01. 新種のウィルスか、設定ミスか

自宅にAVG Free 8.0を使っているパソコンがあります
11月までは問題なく稼動していました

たぶん、12月初旬
AVGのアップデートがうまくいきませんでした
サーバのトラブルか混雑かと考え、明日にでも更新すればよいと特に気にとめませんでした
翌日もアップデートがうまくいきませんでした
「どうしたんだろう」とは思いつつ、また今度と考えました

12月9日夜、インターネット・エクスプローラを酷使していました
時間とともに非常にレスポンスが悪くなりました
プロバイダのDTIの問題かと思いましたが、特にそんな様子はありません
ADSLのアッカの問題かと思いましたが、特にそんな様子はありません
NTTの問題かと思いましたが、特にそんな様子はありません

ADSLの速度試験をいくつか行ったがレスポンスは特に問題はないと出ました
摩訶不思議?
インターネット・エクスプローラかと思い、インターネット・エクスプローラを再起動しましたが特に変化はありません
これでは埒が明かないので、WindowsXPを再起動
見事に解消!
WindowsXPも最近はくたびれてきたのかと思いました

AVGのことをしばらく忘れていました
12月11日、AVGの更新がうまくいっていないのでAVGに何かあると思いWebサイトを訪れました
avgjapan.comは特に問題は無いようで騒いでいません
avg.comへ行ってみました
サイトにアクセスできませんでした
なるほどそういうことか、と思いました

12月13日、朝からインターネットを始めるもまた重いです
休みだし今日は手入れをするかと考え、IE7を上書き再インストール
結果は変わりません
IE7のクッキーや一時ファイルなどすべて消去しました
でもだめでした 手抜きはダメです
IE7をきれいに削除して再インストール
結果は変わらず、WindowsXPかな?
WindowsXP SP2を上書き再インストール
結果は変わらず、AVGのトラブルに起因しているのか?
AVG8.0を削除、再起動して久しぶりにIE7を裸のまま利用
まあまあ快調、どのサイトも通常のレスポンスになりました

っで、avg.com、相変わらずサイトが死んでいます
そういえば、AVGのアップデートはどのサーバーだろう?
free.avg.comでした
早速アクセス

「可能性のある原因:
インターネットに接続されていない。
Web サイトに問題が発生している。
アドレスに入力の間違いがある可能性がある。 」

やっぱり死んでいます
firefoxとoperaで試してみました
やっぱり死んでいます

でも、AVGが騒ぎになっていないのはなぜだろう?
Symantecはどうだろう?早速アクセス
えっ!死んでいる
avastはどうだろう?早速アクセス
えっ!死んでいる
Aviraはどうだろう?早速アクセス
えっ!死んでいる
Kasperskyはどうだろう?早速アクセス
えっ!死んでいる

これはおかしい
AVG.comを逆引きしてみました
64.74.243.15にアクセスできた!!!!!

ってことは、このパソコンがおかしい
知らぬ間に感染したのだろうか
早速、AVGで完全スキャンをっと思いつつもAVGを消してしまっていました
不覚
えっ AVG.comからダウンロードができません
avastもAviraもだめです

おお、救世主「ClamWin Free Antivirus」ならWebサイトにアクセスできるしダウンロードもインストールもできます
早速、ウィルス駆除開始!
結果、ウィルス感染してません!
ClamWin Free Antivirus しっかり!
ほかのアンチウィルスサイトがアクセスできないのに、ClamWin Free Antivirusにアクセスできたことがこのソフトの実力なのだろうか

ほかの感染していないパソコンで、AVG Free 8.0 をダウンロード
インストール完了
しかし、アップデートは当然できません
これでは、ウィルス感染している現状を打破できません
おお、さすがAVG! アップデートをファイルでダウンロードできるしくみがあります
さっそく、2台のパソコンを駆使して最新のAVG Free 8.0 を装備
さて、元の鞘に収まりつつも最新の状態で完全スキャン開始!
ウィルスは発見できません!!

信頼すべきAVGの最新版をもってしてもウィルスが検知できないとは・・・
現状を調査しながら整理します

1.WindowsXP、IE7、は最近まで通常利用に支障は無かった
2.AVG Free 8.0 もきちんと動作していたように思う
3.数日前にIE7が異常に重たくなった
  プロバイダや回線の問題ではないようだ(速度試験やWebサイトの広報から推測)
4.IE7、WindowsXP SP2、をリニューアルしたら重くはなくなったようだ
  (あれほどの酷使はまだしていないが)
5.99%のサイトは通常どおり利用できる
  利用できない(応答が無い)と確認したのは次のサイトである

www.symantec.com
www.mcafee.com
www.avira.com
www.bitdefender.com
www.nod32.com
www.kaspersky.com
www.avast.com
www.trendmicro.com
www.avg.com
www.grisoft.com
free.grisoft.com

おもしろいことに download.microsoft.com もダメなようです
IE7をダウンロードしようと「ダウンロードボタン」を押したら無視されました、何度も何度も

これはもう、「ある意図を感じる」「ビンビン感じる」
(私以外の)誰かの意図でこうなったと考えるのが普通でしょう
これで「ウィルスに感染した」と思いました

今度はウィルス感染に絞って考察します

6.この現象は、同じWindowsXP+IE7のもう一台のサブのノートパソコンを「自宅の同一LAN」上で利用しても起きない
  IE7のダウンロードも以降のソフトのダウンロードやサイトへのアクセスもサブのノートパソコンなら問題はまったく起きない
  つまり、プロバイダでも回線でもサーバーでもなく、原因はこの1台のメインパソコンの中にある

7.ネットで調べるとMytobというワームがサイトへのアクセス拒否で似たような動作をしている
  ここで問題になったのはWindowsXPのhostsファイルの記述である
  早速確認するも127.0.0.1 localhost の1文(デフォルト)しかない
  hostsではない
  そもそも今から3年前のワームをAVGが検出できないとは思えない

8.ping,tracert,nslookup,netstat,ipconfig,などを利用して感じたことは、
  問題のサイトにアクセスしようとすると、Proxyのようなところで要求がフックされ放置されるためアドレスがDNSで引かれない
  よって応答が無く、サイトが死んでいるように見える
  これは、httpのプロトコルだけでなくftpでアクセスを試みたり、その他のtcp/ipのコマンドの利用からの感想である
  所感では、www.avg.comが127.0.0.1へアクセスにいっているように見える Webサーバのサービスを停止しているこのパソコンは当然無応答なのでクライアントであるこのパソコンからは死んでいるように見える
  (自宅のLANではいずれもproxyは利用していない)
  WindowsXPのネットワーク設定、ファイアウォール、などいろいろいじくってみたが変わらない
  「設定ではない、何かに持っていかれている、それもアンチウィルスサイトについてだけ」・・・

9.「要求のフック」で自問自答
  迷惑メール対策にpopfileを利用している
  結構匂うが、これはpopプロトコルでかつ設定がされている場合のみであるためこの影響は低い
  popfileは迷惑メールによるワームの温床になるので非常に危険なフォルダである
  先ほどの完全スキャンの対象でもあるのでシロ
  判るのはここまで

10.ネットで調べようとするが適当なキーワードがわからない
  ワーム、ウィルス、プロキシ、フック、hosts、特定のサイト、名前解決、DNS、・・・
  いくつか似たような人の質問サイトを覗くが、回答している人が端っから赤子扱いで参考にならず
  別のサイトで質問者の中に2人今回の私とほぼ同様の現象で、ひとつひとつ現象を潰している人がいた
  結論には至っていないようだ
  気になったのは、この2人が質問をしているのは今年の11月である

11.そうこうしているうちに藁をもすがる思いで、avastとspybotと必殺カスペルスキーで完全スキャンした
  どれもウィルスを検知せず!!!

12.ルートキットの臭いもしてきたが、私自身がこの手の知識が不十分なのであくまでも臭いである
  でも、ルートキットは厄介である 対処がおおごとになりそうである
  さらにトロイの木馬ということで、バックドアがあいているのか?
  一応、自宅のルータには少々強めのパケットフィルタリングをしているが、この厄介な産物のハッカーならば無いに等しいフィルタリングかもしれない

ウィルスのような外部からの影響でこのような事態になったと思います
私個人は確信しています
でも、外界にはそんな様子が無い!
アンチウィルス会社はどこもそんな報告をしていません
アンチウィルスのソフトでも引っかかっていません
上記のような状態では「誰かにやられた」と助けを求めづらい

土日のすべてをこれに費やしました
メインパソコンの通信環境はほぼ調べつくし、やれることはやりました
でも、解決できない 困った

ほかの人が同様の問題に遭遇し、解決して、公表してくれるのを待つか
あきらめてWindowsXPをクリアインストールするか

今はどちらかしかありません

知力、体力、能力の限界!
少々不安ですが、賢人が解決ししてくれるのを待ちましょう

2008年12月16日 00:04:05