hostsファイルが勝手に消えていてはまった件

Windowsにはhostsファイルって言うのが有ります。何をするファイルかっていうと、ドメインとIPアドレスを結びつけるのに使ったりします。DNSの変わりに使ったりします。というかDNSより優先されるので、そのドメインにアクセスした時に別のアドレスにアクセスさせたい時に利用したりします。

うちでは、popfileの動いているLAN内にあるFreeBSDのサーバーにサブドメインを割り当てているのですが、そのサブドメインにアクセスするとグローバルIPで接続してしまおうとするのですが、大抵のルーターは自グローバルIPでのルーター内部からのアクセスを受け付けないので接続出来ない事になってしまいます。そこでhostsファイルでそのサブドメインに対してのアクセスをローカルIPへの接続するように定義してあげることでこれを回避しています。

あと、例えば、子供にアクセスさせたくないサイトがあったとします。例えば2ちゃんねるにアクセスさせたくない場合、2ちゃんねるにアクセスしたらYahoo!に飛ばしてしまうには子供の使ってるhostsファイルに

124.83.147.203    2ch.net
124.83.147.203   www.2ch.net

と書いておけば、www.2ch.netにアクセスしてもYahoo!が表示されることになります。

IPアドレス「124.83.147.203」はヤフーのトップページのIPアドレスの中の一つです。

色々応用次第で便利に使えるわけです。

hostsファイルは、下記のフォルダに有ります。

「C:\WINNT\system32\drivers\etc」(※WINNTの部分はOSによって多少異なる)

本題です。

今日popfileの誤認識したメールの再学習をさせようと思って、popfileのコントロールパネルにアクセスしようとしたのですが、何故かアクセスできない。またかーと思っていろいろ調べたのですが解決しない。

popfileのプロセスを再起動したり、popfileのデータベースファイルをバックアップと差し替えてみたり、設定ファイルを確認してみたり、FreeBSDのサーバーを再起動してみたり・・・。直らない。orz

同様の症状が無いかネットで検索してみるも解決には至らず。Firefox以外の別のブラウザでアクセスしてみたりしてもだめ、でも何故かメールの受信は出来ているので、ちょっと安心。ん?ちょっとまて、なんでメールはちゃんと受信できてるんだろ?GUI部分だけ問題が発生してるのか?

おかしいなーと思いつつ色々やってて試しにドメインを直接入力してみた。通常popfileはポート8080で動くので、例えばexample.com:8080とアクセスすることでpopfileのコントロールパネルにアクセスすることが出来ますが、単にexample.comにアクセスした場合は普通にそのサーバーのウェブサーバーにアクセスします。つまりそのサーバーのホームページのトップページにアクセスすることになるのですがやってみたら同じくエラーになる。あれ?これはおかしい、popfileの問題ではないということが判明(いままでやってたことってorz)

次に疑ったのは自分の使ってるWindowsマシンのファイヤーウォール。なんか遮断しちゃってるのかなと思ってファイヤーウォール向こうにして同じことやってみたけど改善せず。ということはファイヤーウォールの所為ではない。なんか他にセキュリティーソフト入れてるかなーと思ったけど、もしかして最近入れたAVG8.0が悪さしてるのかなーと思ったけどその可能性は低い。

試しに、ローカルIPを直接アドレスバーに入れてみた「192.168.1.69」。見れたw。もしかして、popfileもまともにうごいてるのか?と192.168.1.69:8080と入力してみる。普通にみれた。ブッ!

なんですとー、何でこんなことになってんの?

nslookupでドメインを正引きしてみた。

例:nslookup example.com

あれ、グローバルIPだ。なんでグローバルIPっておかしいよな?何がおかしいんだっけ?ああそうだ、hostsファイルでローカルIPにしてるはず。だよね?なのになぜnslookupで正引きするとグローバルIPが接続されるの?

というわけで、hostsファイルを検索、いつもはhostsファイルの正確な位置を把握してないのでシステムフォルダを開いてエクスプローラーで検索をかけています。

で、結果ですが

おいら「ねーよwwww」ヽ(`Д´)ノ 「なんでないの?」( ´ー`)

通常なくなるはずのファイルがなくなっているわけで「これは、事件だ!」ってな感じなのですが、可能性を色々考えてみる、ディスクがクラッシュした時に消えた、ウイルスなどのマルウェアの仕業、最近インストールしたAVGの仕業。色々考えたのですが、一番怪しいと思われるのがマイクロソフトの「悪意のあるソフトウェアの駆除ツール」です。これは、「Windows Update」の度になんか追加されてそのたびに実行されているのでやっぱりこれが怪しいとにらんでいます。実際、hostsファイルを書き換えてセキュリティーソフトのサイトにアクセスできないようにするマルウェアなどがあるためこれを修復や削除したりする機能が「悪意のあるソフトウェアの駆除ツール」あるみたいですので、これによって削除されてしまったのではないかと思っています。

おいら「hostsに色々設定してるお」

悪意のあるソフトウェアの駆除ツールたん「普通いじられるはずの無いhostsファイルがいじってあるのでマルウェアにいじられたと認定します。」「削除実行」

ってかんじでしょうか?

一応マイクロソフトのページによると「悪意のあるソフトウェアの駆除ツール」の実行結果のログは

「%WINDIR%\debug フォルダに mrt.logというログファイル」

が残るとのことで見てみました。前回の実行は5月19日、特にログに問題は残っていませんでした。

とりあえず、「悪意のあるソフトウェアの駆除ツール」が怪しいと思っているわけですが確証が無いのでしばらく様子を見てみようと思います。

hostsファイルは新たに書いて保存することで、普通にpopfileのコントロールパネルにアクセスすることができる様になりました。

メールは何で送受信できてたかって言うとメールソフトやメールスキャナにはドメインではなくIPアドレスでローカルIPを指定していたからでした。

ついでにPOPFileのスパム認識精度を載せておきます。だいたい99.91%の精度でスパム判定を行っています。かなり正確に分類してくれています。

POPFileバケツ

 

で、これでこの記事終わりでポストするはずだったんですけど、最後の確認でPOPFileのコントロールパネルにアクセスしてみようと思ったら、またアクセスできませんでした。調べてみるとhostsが消えています。orz

これはヤバイということで調査を始めました。結論から言うとウイルスでした。トロイの木馬です。基本的にゲームのアカウント情報を盗んで特定のサイトに送信するトロイの木馬の様です。いまいちウイルスの挙動を正確に書いてあるページを探すことが出来なくてちょっと困っています。一応AVG8.0で駆除をする事は出来たのですが、リアルタイムスキャンでブロックできなかったのが残念というかAVGにがっかりです。

長くなりますが、発見までの経過を書いていきます。

hostsがまた消えているのが判って、最初はウイルスが原因だとは全く考えませんでした。心当たりが無かったからです。何らかのセキュリティーソフトが原因だと考えていました。わりと最近導入したセキュリティー関係のソフト、最初はこれらが原因だと思って調べ始めました。「悪意のあるソフトウェアの駆除ツール」「AVG8.0」「Spybot-SD1.5.2.0」これらの設定を最初調べました。それらしい機能を無効にしてみたりしたのですが全く効果なし何かのタイミングでhostsが削除されます。

そこでどのプロセスが、hostsファイルを削除しているのか確認することにしました。Filemonを使ってhostsファイルへのアクセスを監視しました。するとFirefoxを起動するタイミングでhostsがDELETEされることがわかりました。犯人はFirefoxのアドオンではないかと思って特にAVGのアドオンとかじゃないかと思ってアドオンを無効にしてみたのですが効果なし、とかやってたらIEを起動するタイミングでも削除されることが判明、とおもったらメモ帳だろが電卓だろうがアプリを立ち上げるタイミングで削除されることが判明。この時点でもまだウイルスだとは思ってなくて、ウイルス対策ソフトがhostsへのアクセスを監視して間らかのタイミングで削除しているのではないかと思っていたのですが、どうしても判らないので、もしかしたらウイルスじゃないのかな?と少しずつ考え始めました。

とりあえずAVG8.0でsystem32フォルダをスキャンしました。すると出てきたのは

スキャン 「シェル拡張スキャン」は終了しました。
検出された感染:;”1″
除去または修復された感染オブジェクト ;”0″
未除去または未修復。;”1″
検出されたスパイウェア:;”0″
除去されたスパイウェア:;”0″
未除去:;”0″
警告数:;”0″
情報数:;”0″
開始したスキャン: ;”2008年6月10日, 3:30:40″
総スキャンオブジェクト数:;”65981″
所要時間: ;”23分 19秒”
発生エラー:;”0″

感染
ファイル;”感染”;”結果”
C:\WINNT\system32\sonb32drv.dll;”トロイの木馬PSW.Generic6.NZQ”;”感染”

 参りましたねこれは・・・

といいますか「悪意のあるソフトウェアの駆除ツール」関係ありませんでしたごめんなさい。m(_ _)m

とりあえず、これがどんなトロイなのか調べることにしました。

しかし、

sonb32drv.dll

PSW.Generic6.NZQ

でググっても完全にマッチする検索結果が現状出てこないです。「sonb32drv.dll」に至っては現状皆無です。「PSW.Generic6.NZQ」は文字を削って「PSW.Generic6.NZQ」を「PSW.Generic6」や「PSW.Generic」とかにするとそれらしいものが出てきます。亜種のウイルスがたくさんあるらしく情報が錯綜してしていて決定的な情報を見つけ難いようです。

決定的ではないですが、名前が似ているのでたぶん以下のものに類似したウイルスであると判断

マカフィー株式会社–セキュリティ情報– <http://www.mcafee.com/japan/security/virS2007.asp?v=SpyRecon#characteristic>

ウイルス対策ソフトごとに判定あれた名前が異なるので他のウイルス対策ソフトでどのように判定されるのか試してみたいのだがかなーり面倒(※後で簡単に調べることができることがわかったのですがorz)有名どころのウイルス対策ソフトでしらべてみました。

●トレンド フレックス セキュリティ : オンラインスキャン
<http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php>

AVG8.0が検出しなかったアドウェアを3つ検出したが、sonb32drv.dll(PSW.Generic6.NZQ)自体は検出しなかった。

Adware_BHOT_ImyonBar

Adware_BHO_NavExcel – 概 要
<http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BHO_NavExcel>

Adware_BHO_NaviHelper – 概 要
<http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BHO_NaviHelper>

 

●オンラインスキャナ:ウイルス対策ソフト「カスペルスキー」製品情報 : JUST Kasperskyポータル
<http://www.just-kaspersky.jp/products/try/onlscan.html>

結構長い時間かけて準備したのですが、AVG8.0を無効にするのを忘れてて、途中で妨害されて止まってしまったのでまたやり直す気力も無くて断念。
virustotalの結果を見る限りでは検出できるものと推測します。
http://www.virustotal.com/ja/

●Symantec Security Check
<http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym>

フォルダを選んで検索できないので時間が掛かりすぎる為めんどくさくなって断念w。

virustotalの結果を見る限りでは検出できないのではないかと推測。

●AVG8.0肝心のAVGですがC:\WINNTフォルダを検索したところ下の二つを検出

“トロイの木馬PSW.OnlineGames.ASZS”
C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\8JQ1GNYD\taa[1].gif


“トロイの木馬PSW.Generic6.NZQ”
C:\WINNT\system32\sonb32drv.dll

両方とも隔離しました。これ以降hostsが消えることがなくなりました。DLLインジェクションとかいう攻撃方法でAPIをフックして各アプリが起動したときにhostsファイルを操作するようなことを行っていたようです。

色々確認の為にPCの再起動などを行ってみました、再起動時にFlashのアップデートが起動してアップデートしてくださいと出てきたのでアップデートしました。(これがこの時関係あるとは思ってませんでしたが、関係あったみたいです。)

再起動後も特にhostsが削除されるようなことはない様なので大丈夫かなーとおもってますが、一応完全スキャンをかけました。とりあえずは大丈夫なようです。

しかし、このウイルスの詳しい説明が見つからない為、感染経路の特定が出来なくてどうにも落ち着かないわけです。それがわからないと安心できないわけです。色々調べまくったのですが、朝になってしまいました。一旦寝ることに。その間に完全スキャンしておきました。

夕方目が覚めてから、先に書いたとおり完全スキャンの結果を見たのですが大きな問題は無かったので少し安心し、またネットで情報を集めました。

で、そのものの名前では検索に引っ掛からないので名前削っていろいろ調べていたのですが、それほど進展は無く、もういろいろ面倒になっていたところで、この調査中検索結果から何度か見ていたページが面白いページであることに気が付きました。

僕が知らないだけで割と有名なサイトなのだとは思いますが「VirusTotal」です。怪しいファイルをアップロードするとメジャーなウイルス対策ソフト32種類での解析結果を表示してくれるサイトです。検索結果にこのサイトの解析結果が引っ掛かっていたのですが最初は何のサイトかわからずにスルーしていたのですが、判ってみれば大変便利なサイトです。さっそく試してみることにしました。その前にこのサイトが怪しいサイトかどうか判らないのでサイト名でググって見てまともなサイトかどうかをチェックしたのは言うまでもありませんね。

VirusTotal – 無料オンライン ウイルス/マルウェア スキャン
<http://www.virustotal.com/ja/>

既に隔離しているsonb32drv.dllを一旦復旧してAVG8.0が反応しないように無効にしてからアップロードしました。じゃないとアップロードできません。結果は下記のURLです一応結果も貼っておきます。

Virustotal. MD5: 3ba6e1630b326685a9120d2ca0c28da6 Trojan-PSW.Win32.Nilage.djl W32/Heuristic-166!Eldorado Win32:Nilage-MT <http://www.virustotal.com/jp/analisis/eb140f91d9b604de45fd3a1ba20ceaf6>

僕がアップロードした時点で既に9日の時点で同じ物がアップロードされていました。ということは割と新しいウイルスなのでしょうか?面白いのが日本で有名どころのシマンテックとトレンドマイクロとマカフィーは検出できていないということと、AVGも7.5だと検出できてないみたいです。VirusTotalの検出ソフトにAVG8.0が含まれていればすんなりこのページに来ることが出来たのかもしれませんね。

あと、カスペルスキーが検出できているのと無料版のある有名どころ、「Avast」と、ここには出ていませんが「AVG8.0」が検出できているのが特筆する点です。

ファイル名 sonb32drv.dll 受理 2008.06.09 08:45:16 (CET)
アンチウイルス バージョン 更新日 結果
AhnLab-V3 2008.5.30.1 2008.06.05
AntiVir 7.8.0.55 2008.06.09
Authentium 5.1.0.4 2008.06.08 W32/Heuristic-166!Eldorado
Avast 4.8.1195.0 2008.06.09 Win32:Nilage-MT
AVG 7.5.0.516 2008.06.08
BitDefender 7.2 2008.06.09
CAT-QuickHeal 9.50 2008.06.07
ClamAV 0.92.1 2008.06.09
DrWeb 4.44.0.09170 2008.06.08 Trojan.PWS.Gamania.origin
eSafe 7.0.15.0 2008.06.05
eTrust-Vet 31.6.5858 2008.06.08
Ewido 4.0 2008.06.08
F-Prot 4.4.4.56 2008.06.08 W32/Heuristic-166!Eldorado
F-Secure 6.70.13260.0 2008.06.09 Trojan-PSW.Win32.Nilage.djl
Fortinet 3.14.0.0 2008.06.08
GData 2.0.7306.1023 2008.06.09 Trojan-PSW.Win32.Nilage.djl
Ikarus T3.1.1.26.0 2008.06.09
Kaspersky 7.0.0.125 2008.06.09 Trojan-PSW.Win32.Nilage.djl
McAfee 5312 2008.06.06
Microsoft 1.3604 2008.06.09
NOD32v2 3166 2008.06.09
Norman 5.80.02 2008.06.06
Panda 9.0.0.4 2008.06.08
Prevx1 V2 2008.06.09
Rising 20.47.42.00 2008.06.06
Sophos 4.30.0 2008.06.09 Mal/Emogen-R
Sunbelt 3.0.1145.1 2008.06.05
Symantec 10 2008.06.09
TheHacker 6.2.92.339 2008.06.07
VBA32 3.12.6.7 2008.06.08
VirusBuster 4.3.26:9 2008.06.08
Webwasher-Gateway 6.6.2 2008.06.09
 
追加情報
File size: 45056 bytes
MD5…: 3ba6e1630b326685a9120d2ca0c28da6
SHA1..: c3faaa6deee5c5efe650a50795755c5c7d696104
SHA256: 77081a801a41afcc1dbb763fba5c8c0d13eea9352816e98fb925e5f00f331997
SHA512: 63427992f5ad06e97bde54daca87844939f14bc110cdb44c8420077c4d4b90c6
b54931f94cb536c05464cf85ab4bfc0dadb2d60a9b00ca0ae4bd1a89c8b44de6
PEiD..: Armadillo v1.xx – v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007397
timedatestamp…..: 0x4848ccee (Fri Jun 06 05:36:46 2008)
machinetype…….: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6862 0x7000 6.07 37e87ab1d0638e61d8461ccebe9c1289
.rdata 0x8000 0x9a6 0x1000 3.22 d2998179ac60d44bdf82861c3eb2189e
.data 0x9000 0x1d6d0 0x1000 4.07 575ea2be26b238d84b816ccea71ad45b
.reloc 0x27000 0xa90 0x1000 3.71 c21f51db817a964be974be82e24f4df2

( 6 imports )
> WS2_32.dll: -, -, -, -, -, -, -, -, –
> KERNEL32.dll: LocalFree, CreateThread, IsBadStringPtrA, LoadLibraryA, Sleep, GetProcAddress, GetLastError, GetSystemInfo, IsBadReadPtr, VirtualQuery, WideCharToMultiByte, GetModuleHandleA, GetTickCount, InterlockedDecrement, CloseHandle, CreateFileA, lstrcpynA, MapViewOfFile, CreateFileMappingA, OpenFileMappingA
> USER32.dll: CallNextHookEx, wsprintfA, GetWindowTextA, GetParent, GetClassNameA, ScreenToClient
> ole32.dll: CoCreateInstance, OleRun
> OLEAUT32.dll: -, -, -, –
> MSVCRT.dll: _initterm, _adjust_fdiv, _strupr, _strdup, _CxxThrowException, __1type_info@@UAE@XZ, _onexit, __dllonexit, strchr, atoi, free, isalpha, isdigit, realloc, malloc, wcslen, __2@YAPAXI@Z, __CxxFrameHandler, sprintf, __3@YAXPAX@Z

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

 

 

ただ、問題はやっぱり感染経路がわからないことなのですがPSW.Generic6.NZQではどうやっても検索できないので「Avast」の解析結果である「Win32:Nilage-MT」で検索してみたところ2chのログが引っ掛かりました。

●グーグルのキャッシュ:セキュリティ初心者質問スレッドpart108 <http://209.85.175.104/search?q=cache:Qi0HLyl78yQJ:pc11.2ch.net/test/read.cgi/sec/1209785361/734-833+orz.exe&hl=ja&ct=clnk&cd=3&gl=jp&lr=lang_ja&client=firefox>

●セキュリティ初心者質問スレッドpart109
<http://pc11.2ch.net/test/read.cgi/sec/1211880902/>

以下スレの抜粋

585 :名無しさん@お腹いっぱい。:2008/06/09(月) 17:51:26
    【使用OS】XP Home SP3
    【使用ブラウザ】Firefox
    【Microsoft Updateの更新の状態】自動更新設定
    【セキュリティソフトと年式】avast home、zone alarm
    【スパイウェア対策ソフト】spybot

    【回線の種類・ルータの有無】ADSLでルータ使用中

    【具体的な症状】
    ttp://●●●alfa.livedoor.biz/archives/51309254.html を開こうとした瞬間
    aa.gifとorz.exe(両方ともWin32:Nilage-MT)を検出と出る。

    【過程と措置】
    駆除してすぐLANケーブルを抜いて、プロセスに妙なものがないかチェック。

    駆除できてるか心配です。
    何をすればいいでしょうか?

586 :585:2008/06/09(月) 18:01:25
    間違えました
    aa.gif→taa.gif

587 : ◆N9P3SuvBPo :2008/06/09(月) 18:10:58
    >585
    大丈夫なんじゃね?たぶん

588 :名無しさん@お腹いっぱい。:2008/06/09(月) 18:29:31
    リンク貼らないほうがいいぞ
    コピペでも犯罪になるって言ってた

589 :585:2008/06/09(月) 18:34:28
    >>587
    私だけの少女のようですしorz.exeでgoogle検索したら
    このスレの過去ログが出てきてスタートアップになにか潜むようです。
    (感染したらなのかは不明ですが確認しても無かった。)

    >>588
    すいません・・・先頭のhを抜けば大丈夫と思ってました。

592 :585:2008/06/09(月) 18:56:44
    今、LANケーブルを抜いてavastでスキャン中です。

    チェックした事柄を書きます。

    ・スタートアップチェッカーってソフトでプロセス、スタートアップ、サービスを確認

    ・レジストリエディタのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの項目確認

    ・スタートメニューのスタートアップの中を確認

    ・LANケーブルを抜く前にTCP Monitor Plusってソフトで通信を確認

593 :名無しさん@お腹いっぱい。:2008/06/09(月) 19:27:03
    >>585
    まぁ、駆除という言葉が妥当かどうかは分からないが、セキュリティソフトが検出した時点で
    不正プログラムの実行は遮断されるので問題ない。

    該当ページを開いてみたけど、ランダムバナーのせいか、該当ファイルは見つかりませんでした。

593 :名無しさん@お腹いっぱい。:2008/06/09(月) 19:27:03
    >>585
    まぁ、駆除という言葉が妥当かどうかは分からないが、セキュリティソフトが検出した時点で
    不正プログラムの実行は遮断されるので問題ない。

    該当ページを開いてみたけど、ランダムバナーのせいか、該当ファイルは見つかりませんでした。

594 名前: 585 投稿日: 2008/06/09(月) 19:40:15
>>593
一応、検知漏れがあると怖いのでWindows上でのスキャンをしていましたが
中止してブートタイムスキャンをやっています。

バナーにウイルスがついてくるってある話なんですか?
 
595 名前: 585 投稿日: 2008/06/09(月) 20:59:53
どうやら前スレでもorz.exeの話は出てるみたいですね。
googleのキャッシュで見れたので結果がどうなったかわかりませんでした。

596 :585:2008/06/09(月) 21:21:48
    ブートタイムスキャンしてもなんも出てきませんでした。
    cure it!使ってみます。

    ちなみにさっきのアドレス開きましたが出なかった・・・・

 

597 :名無しさん@お腹いっぱい。:2008/06/09(月) 21:55:30
    うーん、どうもFlashがらみの問題のようだね。
    taa.gifの本体は手に入れたけど、ちょっと質問

    Flash のバージョンは?
    ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
    通常は 9,0,124,0

    orz.exe が検出された場所は?
    例) C:\Documents and Settings\[User]\Local Settings\Temp 等

 

598 :585:2008/06/09(月) 21:57:09
    連レス続けてすいません。589に誤字がありました。
    少女→症状

    あと>>429さんはやばいと言っているのですが・・・・

599 :585:2008/06/09(月) 21:58:56
    >>597
    WIN 9,0,115,0でした。

    orz.exeはC:\DOCUME~1\ユーザー名LOCALS~1\Temp\orz.exe
    taa.gifはC:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\POSB9T8D\taa[1].gif
    です。

600 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:00:59
    >>599
    アウトです。
    アカウントハックウイルスに感染しました。ちょっと動作確認してみます……

601 :585:2008/06/09(月) 22:02:19
    >>600
    え・・・・なんてこった・・・・

    TCP Monitor Plusのログを見た感じだと妙なところにつながっている様子はないですが・・・・

605 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:16:28
    >>601
    ちょっと亜種が多くて、どーなってるのかな。
    FW

606 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:18:13
    何も見てない時は動きは皆無です。

608 : ◆N9P3SuvBPo :2008/06/09(月) 22:22:50
    ComboFix & HijackThisのStartUpList & eScan & GMER

609 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:23:26
    avast最新状態でブートタイムスキャンしましたが駄目でしょうか?

610 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:24:43
    がはっ

    FWに引っ掛かりました?
    もともと、ネトゲのパス抜きなのでネトゲをやっている場合、可能なら別PCでパスを変えてください。

    うちでは、orz.exe ができなかっのですが、System32 フォルダに DLL をドロップしてました。
    taa.gif と orz.exe はもしかするとダウンロードした瞬間にアンチウイルスで検知された可能性が高いです(感染していない)。
    ただ、上記のように DLL をドロップする場合もあるので Windows, Windows\system32 フォルダに怪しい DLL が無いか確認してみてください。
    Silent Runners や Autoruns 等で怪しいのが無いかチェック。

    ぶっちゃけ、すべてのオンラインスキャナー使ってチェックしてみた方がいいかも。

611 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:28:57
    >>608
    全部ですか?
    >>610
    FWは無反応です。ネトゲは全くやってないです。
    一応両方ともavastで引っかかったので大丈夫かな・・・と思っているんですが。
    Silent Runners や Autoruns、スペルスキーオンラインをしてきます。

612 : ◆N9P3SuvBPo :2008/06/09(月) 22:30:46
    >611
    まさか!
    そんな大量のログ貼られたら埋まっちまうわw
    特にeScanは時間掛かりすぎるぜ。

614 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:35:19
    両方のログ取れましたが分割書き込みですか?ログうpですか?

615 : ◆N9P3SuvBPo :2008/06/09(月) 22:36:04
    >614
    どのログですか?

616 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:36:43
    Silent Runners と Autorunsです

617 : ◆N9P3SuvBPo :2008/06/09(月) 22:37:13
    >616
    そしたら…うpですね。

618 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:41:06
    http://www.dotup.org/uploda/www.dotup.org5970.txt.html
    autorunsログです

    http://www.dotup.org/uploda/www.dotup.org5973.txt.html
    Silent Runnersログです。

    pass:585

619 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:45:28
    今からkasperskyのオンラインスキャンを始めます。
    avastを無効にしてkasperskyスキャンをするので次からは携帯で書き込みます。

620 : ◆N9P3SuvBPo :2008/06/09(月) 23:06:37
    >618
    見逃しあったら悪いけど

    Silent Runners…問題無し
    autorunsも問題無し

621 : ◆Snd.VUp3z. :2008/06/09(月) 23:09:56
    トリ付けてるのでレス番外します。

    >>620
    本当ですか!?
    じゃあ感染なしってことですかね?
    だとするとあの二つのファイルは一体どこから来たのか・・・

622 :593 ◆ZrU7xJs76o :2008/06/09(月) 23:11:36
    >>618
    こっちも問題なし

623 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:13:33
    >>622
    お二方共に問題無し・・・・
    これは奇跡の危機回避フラグですか?

623 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:13:33
    >>622
    お二方共に問題無し・・・・
    これは奇跡の危機回避フラグですか?

624 : ◆N9P3SuvBPo :2008/06/09(月) 23:16:36
    >621
    レス番は付けておいた方が良いと思うが
    まあ、いいかな…

    たぶん、
    >622さんも問題ないよって言ってるし、でもorz.exeが
    C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\から発見されたんだよね。
    でも、そこまで調べる気力は無いです…はい。

625 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:20:05
    >>623のトリが抜けてました。

    >>624
    レス番付けました。
    私もなぜtempでorz.exeが発見されたのか予想がつきません。

626 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:27:19
    >>623
    > ダウンロードした瞬間にアンチウイルスで検知された
    これが正解だと思う。

    亜種が多いので確実ではないが、Flash経由でダウンロードされるのが taa.gif(実行ファイル)。
    記録には残ってないと思うが、裏でBATファイルの実行をしている。
    おそらく、名前が同じ事から、taa.gif → orz.exe にリネーム・コピーされたと思う。

    ところで、気になった点
    ・Flash 古い。すぐに 9,0,124,0 に更新
    ・JRE 1.5.x が古い。すぐに最新(JRE 1.5.0 Update 15?)に更新

627 : ◆N9P3SuvBPo :2008/06/09(月) 23:29:43
    >625
    そこなんだよな~
    orz.exeは既に削除済みなんですよね?

    ネット見てて、リアルタイムで検出→削除→手動スキャン→検出なし
    なら大概は大丈夫だけど、
    手動スキャン→検出ありだったら不味いので。

628 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:29:47
    >>626
    なるほど、助かったのかなぁ
    最新版更新了解しました。kasperskyのスキャンが無事終わりしだい更新してきます。

629 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:32:16
    >>627
    手動スキャン(先程のブートタイムスキャン)では検出されず、
    kasperskyオンラインスキャンも現在92%でウイルス0です。

630 : ◆N9P3SuvBPo :2008/06/09(月) 23:44:14
    >629
    あとは、セーフモードでeScanをやって、マルウェアの検出が無ければOKかな?
    eScanの使い方↓
    ttp://www.higaitaisaku.com/escan.html

    あとは…
    「スタート」→「検索」→「ファイルやフォルダの検索」で
    orz.exeが発見された日と同じ日に作成されたファイルを検索
    怪しいものは片っ端から”Virustotal”に突っ込んでやるとか

    眠たくなってきたので、これで失礼する
    後よろしくお願いします

632 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:48:14
    >>630
    了解しました。eScanやってみます。

633 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:07:43
    http://www.dotup.org/uploda/www.dotup.org6048.jpg.html
    PASS:585
    orz.exe検知と同時刻(時間も分も)の変更ファイルです。

    kasperskyは一部のファイルがロックされていますになりましたが
    ウイルスは0でした。

634 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:14:59
    あ、ちなみにファイル本体ではなくスクリーンショットです。

635 : ◆ZrU7xJs76o :2008/06/10(火) 00:18:25
    >>633
    これは、Flashの設定ファイルなので特に関係ないです。
    一応、カスペでは、ドロップした DLL も検出可能なので安全になったと思います。
    ちょっとavastのリアルタイムスキャンの仕組みが分かりませんが……。

636 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:20:19
    >>635
    ブートタイムはウィンドウズ起動前(ロゴが出てバーが出てすぐ)に実行されるやつですが
    リアルタイムスキャンは私もよく知りません。

    今からセーブモードでeScanいってきます。

644 :585 ◆Snd.VUp3z. :2008/06/10(火) 07:33:29
    睡魔が限界でシステムボリュームインフォメーションを検索途中で中止しました。
    その時点でウイルスは明らかに誤検出1つと削除済みのexe、3つ。
    スパイウェアはよく覚えてないです。

    今日帰宅後にもう一回やりますが、他にやった方がいいことはありますか?

648 : ◆ZrU7xJs76o :2008/06/10(火) 13:55:21
    >>644
    何度か試したのですが再現しなかったので確認だけ。

    1. C:\WINDOWS\system32\sonb32drv.dll があるか?
    2. HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
    3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks に
      {F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
    4. C:\WINDOWS\system32\drivers\etc\hosts が無くなっているか?

    上記項目に1つも当てはまらない場合は、orz.exe は実行されていません(感染していない)。
    あと、使用ブラウザが Firefox となっていますが >>599 で侵入経路は IE です。この点は注意してください。

668 :585 ◆Snd.VUp3z. :2008/06/10(火) 15:32:52
    >>648
    1、なし
    2、なし
    3、なし
    4、無くなってない

    今 eScanのログうpします。

670 :585 ◆Snd.VUp3z. :2008/06/10(火) 15:39:52
    http://www.dotup.org/uploda/www.dotup.org6318.txt.html

    ログです。pass585

674 : ◆ZrU7xJs76o :2008/06/10(火) 15:53:00
    >>670
    ログを見るまでもなく、感染していません(実行されていません)。
    というわけで、この件はこれで終了です。
    後は、IE に Flash が入っているなら 9,0,124,0 に更新してください。

684 :585 ◆Snd.VUp3z. :2008/06/10(火) 16:53:24
    >>674
    了解しました。
    一応ESET、bit、f-secureのオンラインやっておきます。

    アドバイスして下さった皆様、本当にありがとうございました。

 

    1. C:\WINDOWS\system32\sonb32drv.dll があるか?
    2. HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
    3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks に
      {F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
    4. C:\WINDOWS\system32\drivers\etc\hosts が無くなっているか?

おいらの場合上の1と3と4があてはまるわけです。アウトです。orzです。orz.exeでホントにorzです。ありがとうございました。

しかも「◆Snd.VUp3z」がいってる感染もとのページおいらも見てるページだしorz

ttp://●●●alfa.livedoor.biz/archives/51309254.html 

しかも、スレにあるように下の通りFlashの脆弱性による問題らしい。そう、PCを再起動したときにFlashのアップデート来てたしorz。Flashの脆弱性ですかそうですか、まー大体感染経路が特定できたと考えていいのかな?感染元が上のサイトではないにしても何処かのページを見たときにFlashの脆弱性がらみで感染した可能性が高そうです。

>うーん、どうもFlashがらみの問題のようだね。
>taa.gifの本体は手に入れたけど、ちょっと質問

Adobe – Flash Player: Adobe Flash Player 9リリースノート – Flash Player 9.0.124.0 における修正点と改善事項<http://www.adobe.com/support/documentation/jp/flashplayer/9/releasenotes.html#fixes_90124>

 

今のところ変なトラフィックなどはない様です。とりあえず大丈夫なのだろうか?
しかし、何たる不覚。偶然hostsが消えることに気付いたから良かったのだけど、そうじゃなかったらしばらく気付かなかったですね。怖すぎます。最近「セキュリティーmemo」怠けてみてなかったバチですね。トホホ

セキュリティホール memo
<http://www.st.ryukoku.ac.jp/~kjm/security/memo/>

今回の教訓ですが、ウイルスのスキャンはやっぱり毎日またはせめて週に1回はやるようにスケジュールスキャンを設定した方が良いです。最近ちょっと調子こいてました。災いは忘れた頃にやってくるです。最近のウイルスはより巧妙になって何処から入ってくるのは判らないので、初回完全スキャンのみで後はリアルタイムスキャンだけってのはやっぱり無謀みたいです。セキュリティーソフトがその時点で対応していない可能性もあるのでやはり定期的なスキャンは必要ですね。(あたりまえですね。。。)海より深く反省。orz

ところで、僕が今回のウイルスに感染した時点でAVG8.0はこのウイルスに対応していなかったのだろうか?それとも対応していたのにリアルタイムスキャンが働かなかったのだろうか?リアルタイムスキャンで検出できなかったのであれば、ちょっと問題だなーと思ってます。2ちゃんねるに書き込んだ人はAvastで結果的にリアルタイムスキャンで検出してちゃんと防御できていたわけです。ちょっとAvastに浮気しそうです。元々はAvast!の方が日本語対応もされていたし使うならこれと思っていたのですが、ファイヤーウォールソフトとの相性があるとかないとかそういう話があったところにAVGが日本語化したのでそっちに流れちゃったってあるんですよね。

兎に角しばらく問題がないか用心して様子を見てみようと思います。(Avast!いれちゃうかも)

 

タグ : ,