タグ別アーカイブ: tdss2

11. フィッシングサイト問い合わせ

フィッシングについては、「ユーザが気づかないようにだましのホームページへアクセスさせ入力データから情報を盗み取る」というぐらいの知識しか持ち合わしていません。

っで、起動時にこのウィルスが何をしているか
WindowsXPのネットワーク系のサービスにとり憑いたと考えられるウィルスがWindowsXPの起動とともに開始されるサービスによって活性化し、最初にフィッシングサイトの問い合わせプロトコルを行うのではないかと考えました。
そういう視点でログを見てみると、ウィルスはWindowsXPの起動直後に以下のような送信を行いカスペルスキーに拒否されています。

「ログA」
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース

「ログB」
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 検知しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 遮断しました: 64.69.33.135/* データベース

「ログC」
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 64.69.33.135/* データベース

「ログD」
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 70.86.6.246/* データベース
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 70.86.6.246/* データベース

「ログE」
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: yournewsblog.net/* データベース
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: yournewsblog.net/* データベース

64.69.33.135 = sbt3.superbuytires.com
70.86.6.246 = yournewsblog.net

「yournewsblog.net」は、ネットで検索すると「findsproportal1.com」と同列のサイトのようです。

ところが、「superbuytires.com」は車のタイヤを売っている普通のショッピングサイトに見えます。このサイトについてコメントしている日本のタイヤマニアもいます。どうもフィッシングサイトには見えません。だからこそ怪しいとも見えてしまいます。
一方、「sbt3.superbuytires.com」は、NSレコードではなくAレコードとして登録しているようです。

結局、このプロトコルの意味はわかりませんでした。

ただ、各サイトとも迷わず「tdss」または「tdss2」の「crdcmds」の「main」に向けてアクセスしています
システマティックな環境を想像させます。

2008年12月20日 15:37:08

09. 容疑者さえも逮捕できず

犯行の様子がわかってきましたが、犯人どころか容疑者さえも逮捕できません

あれからいろいろとアンチウィルスソフトで検出を試みましたがうまくいきませんでした。
今日、カスペルスキーで犯行(フィッシング)が行われていることを認識することできました。
しかし、犯人(フィシングをさせている実態)を特定できていませんから駆除ができません。

この犯行を未然に防ぐことができませんでしたし、いまだに駆除もできないのは残念至極です
ウィルス対策に100%がないことは認識し一定の理解もしていますが、自分がその最前線に来てしまったようです
罰すべきはウィルスをばらまく輩です チクショー(畜生! チキショー?)

ログの「tdss2」の文字列から、かつてばらまかれたトロイのようにも見えます。
だとするとカスペルスキーをはじめ多くのアンチウィルスソフトが駆除できてもいいように思います。

最近出た亜種だとしても、ヒューリスティック分析機能を持っていれば何らかの認識を持ってもいいように思います。
ただ、情報が極めて少なく(つまり私とネット上の4人)とても広く流通しているとは思えませんのでそこまで望むべきではないのかもしれません

現状では隔世の感があります

「きわめて出来の悪い流通方法に乗った、極めて出来のいいウィルスに、極めて初期の段階で、感染してしまった」って感じです
この中途半端な状態から早く脱出したい

これだけ打ちのめされているのにこの感覚を共有できているのは私とネット上の4人だけです
ネット上でまったく話題になっていないのがうそのようです
ネットで最初に遭遇した名もなき2人は、暗中模索のなか救いの手を伸ばしていましたが世間の風は冷たく吹いていました
2chで遭遇した3人目もだれにも声をかけてもらえませんでした
親切な人に悩みを聞いてもらえた4人目も暗礁に乗り上げたままのようです(WindowsXPのクリアインストールの方向で考えていたようですが・・・)
みんなこのページにたどり着いてくれれば少しは安心できるかもしれません

ただ、解決はしてません!
あしからず

2008年12月19日 18:12:38

07. 一筋の光明が見えてきました

カスペルスキーのデータベースを最新版に更新できました
(カスペルスキー専用サポートセンターの方にネットワークで更新できない場合の更新方法を親切に教えていただきました)

(ほかのアンチウィルス会社のサポートの方も私のメールに対してご支援をいただいております。この場を借りてお礼を述べさせていただきます)

これで完全スキャンをしました
Office,Winamp,realaudio,quicktime,で脆弱性の指摘を受けました
脆弱性ですからウィルス感染はまだしていないということでしょう
っで、ウィルスですが、・・・発見できませんでした

では、なぜ光明かというと
フィッシングに網に引っかかったのでした

現象を説明します
(1)インターネット・エクスプローラを立ち上げます
(2)空白のページ(私の設定)になります
(3)お気に入りからwww.google.co.jpにアクセスします
(4)googleのトップページが表示されます
(5)ニュースなどリンクをマウスでクリックしてページを移動します
(6)リンクによるページ移動を繰り返します
(7)googleのトップページに戻します
(8)「フィッシング」で検索します
(9)カスペルスキーから「・・・Generic Host Process for Win32 Services・・・遮断しました・・・」のメッセージが表示されます
(10)ログで確認すると「ログ2」が確認できました
(11)さらに気がつきませんでしたがログの最初のほうに「ログ1」も確認できました

インターネット・エクスプローラから「入力されたデータ」を「findsproportal1.com」へ秘密裏にデータを送ろうとしていたのです

<カスペルスキーによる画面の警告表示>

アプリケーション Generic Host Process for Win32 Services はWebページhttp://findxproportal1.com/index.phpへのリンクがあり、クレジットカード番号、パスワード、その他の機密データを盗用しようとする内容が含まれています 遮断しました

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:10:38