hostsファイルが勝手に消えていてはまった件
Windowsにはhostsファイルって言うのが有ります。何をするファイルかっていうと、ドメインとIPアドレスを結びつけるのに使ったりします。DNSの変わりに使ったりします。というかDNSより優先されるので、そのドメインにアクセスした時に別のアドレスにアクセスさせたい時に利用したりします。
うちでは、popfileの動いているLAN内にあるFreeBSDのサーバーにサブドメインを割り当てているのですが、そのサブドメインにアクセスするとグローバルIPで接続してしまおうとするのですが、大抵のルーターは自グローバルIPでのルーター内部からのアクセスを受け付けないので接続出来ない事になってしまいます。そこでhostsファイルでそのサブドメインに対してのアクセスをローカルIPへの接続するように定義してあげることでこれを回避しています。
あと、例えば、子供にアクセスさせたくないサイトがあったとします。例えば2ちゃんねるにアクセスさせたくない場合、2ちゃんねるにアクセスしたらYahoo!に飛ばしてしまうには子供の使ってるhostsファイルに
124.83.147.203 2ch.net
124.83.147.203 www.2ch.net
と書いておけば、www.2ch.netにアクセスしてもYahoo!が表示されることになります。
IPアドレス「124.83.147.203」はヤフーのトップページのIPアドレスの中の一つです。
色々応用次第で便利に使えるわけです。
hostsファイルは、下記のフォルダに有ります。
「C:\WINNT\system32\drivers\etc」(※WINNTの部分はOSによって多少異なる)
本題です。
今日popfileの誤認識したメールの再学習をさせようと思って、popfileのコントロールパネルにアクセスしようとしたのですが、何故かアクセスできない。またかーと思っていろいろ調べたのですが解決しない。
popfileのプロセスを再起動したり、popfileのデータベースファイルをバックアップと差し替えてみたり、設定ファイルを確認してみたり、FreeBSDのサーバーを再起動してみたり・・・。直らない。orz
同様の症状が無いかネットで検索してみるも解決には至らず。Firefox以外の別のブラウザでアクセスしてみたりしてもだめ、でも何故かメールの受信は出来ているので、ちょっと安心。ん?ちょっとまて、なんでメールはちゃんと受信できてるんだろ?GUI部分だけ問題が発生してるのか?
おかしいなーと思いつつ色々やってて試しにドメインを直接入力してみた。通常popfileはポート8080で動くので、例えばexample.com:8080とアクセスすることでpopfileのコントロールパネルにアクセスすることが出来ますが、単にexample.comにアクセスした場合は普通にそのサーバーのウェブサーバーにアクセスします。つまりそのサーバーのホームページのトップページにアクセスすることになるのですがやってみたら同じくエラーになる。あれ?これはおかしい、popfileの問題ではないということが判明(いままでやってたことってorz)
次に疑ったのは自分の使ってるWindowsマシンのファイヤーウォール。なんか遮断しちゃってるのかなと思ってファイヤーウォール向こうにして同じことやってみたけど改善せず。ということはファイヤーウォールの所為ではない。なんか他にセキュリティーソフト入れてるかなーと思ったけど、もしかして最近入れたAVG8.0が悪さしてるのかなーと思ったけどその可能性は低い。
試しに、ローカルIPを直接アドレスバーに入れてみた「192.168.1.69」。見れたw。もしかして、popfileもまともにうごいてるのか?と192.168.1.69:8080と入力してみる。普通にみれた。ブッ!
なんですとー、何でこんなことになってんの?
nslookupでドメインを正引きしてみた。
例:nslookup example.com
あれ、グローバルIPだ。なんでグローバルIPっておかしいよな?何がおかしいんだっけ?ああそうだ、hostsファイルでローカルIPにしてるはず。だよね?なのになぜnslookupで正引きするとグローバルIPが接続されるの?
というわけで、hostsファイルを検索、いつもはhostsファイルの正確な位置を把握してないのでシステムフォルダを開いてエクスプローラーで検索をかけています。
で、結果ですが
おいら「ねーよwwww」ヽ(`Д´)ノ 「なんでないの?」( ´ー`)
通常なくなるはずのファイルがなくなっているわけで「これは、事件だ!」ってな感じなのですが、可能性を色々考えてみる、ディスクがクラッシュした時に消えた、ウイルスなどのマルウェアの仕業、最近インストールしたAVGの仕業。色々考えたのですが、一番怪しいと思われるのがマイクロソフトの「悪意のあるソフトウェアの駆除ツール」です。これは、「Windows Update」の度になんか追加されてそのたびに実行されているのでやっぱりこれが怪しいとにらんでいます。実際、hostsファイルを書き換えてセキュリティーソフトのサイトにアクセスできないようにするマルウェアなどがあるためこれを修復や削除したりする機能が「悪意のあるソフトウェアの駆除ツール」あるみたいですので、これによって削除されてしまったのではないかと思っています。
おいら「hostsに色々設定してるお」
悪意のあるソフトウェアの駆除ツールたん「普通いじられるはずの無いhostsファイルがいじってあるのでマルウェアにいじられたと認定します。」「削除実行」
ってかんじでしょうか?
一応マイクロソフトのページによると「悪意のあるソフトウェアの駆除ツール」の実行結果のログは
「%WINDIR%\debug フォルダに mrt.logというログファイル」
が残るとのことで見てみました。前回の実行は5月19日、特にログに問題は残っていませんでした。
とりあえず、「悪意のあるソフトウェアの駆除ツール」が怪しいと思っているわけですが確証が無いのでしばらく様子を見てみようと思います。
hostsファイルは新たに書いて保存することで、普通にpopfileのコントロールパネルにアクセスすることができる様になりました。
メールは何で送受信できてたかって言うとメールソフトやメールスキャナにはドメインではなくIPアドレスでローカルIPを指定していたからでした。
ついでにPOPFileのスパム認識精度を載せておきます。だいたい99.91%の精度でスパム判定を行っています。かなり正確に分類してくれています。
で、これでこの記事終わりでポストするはずだったんですけど、最後の確認でPOPFileのコントロールパネルにアクセスしてみようと思ったら、またアクセスできませんでした。調べてみるとhostsが消えています。orz
これはヤバイということで調査を始めました。結論から言うとウイルスでした。トロイの木馬です。基本的にゲームのアカウント情報を盗んで特定のサイトに送信するトロイの木馬の様です。いまいちウイルスの挙動を正確に書いてあるページを探すことが出来なくてちょっと困っています。一応AVG8.0で駆除をする事は出来たのですが、リアルタイムスキャンでブロックできなかったのが残念というかAVGにがっかりです。
長くなりますが、発見までの経過を書いていきます。
hostsがまた消えているのが判って、最初はウイルスが原因だとは全く考えませんでした。心当たりが無かったからです。何らかのセキュリティーソフトが原因だと考えていました。わりと最近導入したセキュリティー関係のソフト、最初はこれらが原因だと思って調べ始めました。「悪意のあるソフトウェアの駆除ツール」「AVG8.0」「Spybot-SD1.5.2.0」これらの設定を最初調べました。それらしい機能を無効にしてみたりしたのですが全く効果なし何かのタイミングでhostsが削除されます。
そこでどのプロセスが、hostsファイルを削除しているのか確認することにしました。Filemonを使ってhostsファイルへのアクセスを監視しました。するとFirefoxを起動するタイミングでhostsがDELETEされることがわかりました。犯人はFirefoxのアドオンではないかと思って特にAVGのアドオンとかじゃないかと思ってアドオンを無効にしてみたのですが効果なし、とかやってたらIEを起動するタイミングでも削除されることが判明、とおもったらメモ帳だろが電卓だろうがアプリを立ち上げるタイミングで削除されることが判明。この時点でもまだウイルスだとは思ってなくて、ウイルス対策ソフトがhostsへのアクセスを監視して間らかのタイミングで削除しているのではないかと思っていたのですが、どうしても判らないので、もしかしたらウイルスじゃないのかな?と少しずつ考え始めました。
とりあえずAVG8.0でsystem32フォルダをスキャンしました。すると出てきたのは
スキャン 「シェル拡張スキャン」は終了しました。
検出された感染:;”1″
除去または修復された感染オブジェクト ;”0″
未除去または未修復。;”1″
検出されたスパイウェア:;”0″
除去されたスパイウェア:;”0″
未除去:;”0″
警告数:;”0″
情報数:;”0″
開始したスキャン: ;”2008年6月10日, 3:30:40″
総スキャンオブジェクト数:;”65981″
所要時間: ;”23分 19秒”
発生エラー:;”0″感染
ファイル;”感染”;”結果”
C:\WINNT\system32\sonb32drv.dll;”トロイの木馬PSW.Generic6.NZQ”;”感染”
といいますか「悪意のあるソフトウェアの駆除ツール」関係ありませんでしたごめんなさい。m(_ _)m
とりあえず、これがどんなトロイなのか調べることにしました。
しかし、
sonb32drv.dll
や
PSW.Generic6.NZQ
でググっても完全にマッチする検索結果が現状出てこないです。「sonb32drv.dll」に至っては現状皆無です。「PSW.Generic6.NZQ」は文字を削って「PSW.Generic6.NZQ」を「PSW.Generic6」や「PSW.Generic」とかにするとそれらしいものが出てきます。亜種のウイルスがたくさんあるらしく情報が錯綜してしていて決定的な情報を見つけ難いようです。
決定的ではないですが、名前が似ているのでたぶん以下のものに類似したウイルスであると判断
マカフィー株式会社–セキュリティ情報– <http://www.mcafee.com/japan/security/virS2007.asp?v=SpyRecon#characteristic>
ウイルス対策ソフトごとに判定あれた名前が異なるので他のウイルス対策ソフトでどのように判定されるのか試してみたいのだがかなーり面倒(※後で簡単に調べることができることがわかったのですがorz)有名どころのウイルス対策ソフトでしらべてみました。
●トレンド フレックス セキュリティ : オンラインスキャン
<http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php>
AVG8.0が検出しなかったアドウェアを3つ検出したが、sonb32drv.dll(PSW.Generic6.NZQ)自体は検出しなかった。
Adware_BHOT_ImyonBar
Adware_BHO_NavExcel – 概 要
<http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BHO_NavExcel>
Adware_BHO_NaviHelper – 概 要
<http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BHO_NaviHelper>
●オンラインスキャナ:ウイルス対策ソフト「カスペルスキー」製品情報 : JUST Kasperskyポータル
<http://www.just-kaspersky.jp/products/try/onlscan.html>
結構長い時間かけて準備したのですが、AVG8.0を無効にするのを忘れてて、途中で妨害されて止まってしまったのでまたやり直す気力も無くて断念。
virustotalの結果を見る限りでは検出できるものと推測します。
http://www.virustotal.com/ja/
●Symantec Security Check
<http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym>
フォルダを選んで検索できないので時間が掛かりすぎる為めんどくさくなって断念w。
virustotalの結果を見る限りでは検出できないのではないかと推測。
●AVG8.0肝心のAVGですがC:\WINNTフォルダを検索したところ下の二つを検出
“トロイの木馬PSW.OnlineGames.ASZS”
C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\8JQ1GNYD\taa[1].gif
“トロイの木馬PSW.Generic6.NZQ”
C:\WINNT\system32\sonb32drv.dll
両方とも隔離しました。これ以降hostsが消えることがなくなりました。DLLインジェクションとかいう攻撃方法でAPIをフックして各アプリが起動したときにhostsファイルを操作するようなことを行っていたようです。
色々確認の為にPCの再起動などを行ってみました、再起動時にFlashのアップデートが起動してアップデートしてくださいと出てきたのでアップデートしました。(これがこの時関係あるとは思ってませんでしたが、関係あったみたいです。)
再起動後も特にhostsが削除されるようなことはない様なので大丈夫かなーとおもってますが、一応完全スキャンをかけました。とりあえずは大丈夫なようです。
しかし、このウイルスの詳しい説明が見つからない為、感染経路の特定が出来なくてどうにも落ち着かないわけです。それがわからないと安心できないわけです。色々調べまくったのですが、朝になってしまいました。一旦寝ることに。その間に完全スキャンしておきました。
夕方目が覚めてから、先に書いたとおり完全スキャンの結果を見たのですが大きな問題は無かったので少し安心し、またネットで情報を集めました。
で、そのものの名前では検索に引っ掛からないので名前削っていろいろ調べていたのですが、それほど進展は無く、もういろいろ面倒になっていたところで、この調査中検索結果から何度か見ていたページが面白いページであることに気が付きました。
僕が知らないだけで割と有名なサイトなのだとは思いますが「VirusTotal」です。怪しいファイルをアップロードするとメジャーなウイルス対策ソフト32種類での解析結果を表示してくれるサイトです。検索結果にこのサイトの解析結果が引っ掛かっていたのですが最初は何のサイトかわからずにスルーしていたのですが、判ってみれば大変便利なサイトです。さっそく試してみることにしました。その前にこのサイトが怪しいサイトかどうか判らないのでサイト名でググって見てまともなサイトかどうかをチェックしたのは言うまでもありませんね。
VirusTotal – 無料オンライン ウイルス/マルウェア スキャン
<http://www.virustotal.com/ja/>
既に隔離しているsonb32drv.dllを一旦復旧してAVG8.0が反応しないように無効にしてからアップロードしました。じゃないとアップロードできません。結果は下記のURLです一応結果も貼っておきます。
Virustotal. MD5: 3ba6e1630b326685a9120d2ca0c28da6 Trojan-PSW.Win32.Nilage.djl W32/Heuristic-166!Eldorado Win32:Nilage-MT <http://www.virustotal.com/jp/analisis/eb140f91d9b604de45fd3a1ba20ceaf6>
僕がアップロードした時点で既に9日の時点で同じ物がアップロードされていました。ということは割と新しいウイルスなのでしょうか?面白いのが日本で有名どころのシマンテックとトレンドマイクロとマカフィーは検出できていないということと、AVGも7.5だと検出できてないみたいです。VirusTotalの検出ソフトにAVG8.0が含まれていればすんなりこのページに来ることが出来たのかもしれませんね。
あと、カスペルスキーが検出できているのと無料版のある有名どころ、「Avast」と、ここには出ていませんが「AVG8.0」が検出できているのが特筆する点です。
| ファイル名 sonb32drv.dll 受理 2008.06.09 08:45:16 (CET) | |||
| アンチウイルス | バージョン | 更新日 | 結果 |
| AhnLab-V3 | 2008.5.30.1 | 2008.06.05 | – |
| AntiVir | 7.8.0.55 | 2008.06.09 | – |
| Authentium | 5.1.0.4 | 2008.06.08 | W32/Heuristic-166!Eldorado |
| Avast | 4.8.1195.0 | 2008.06.09 | Win32:Nilage-MT |
| AVG | 7.5.0.516 | 2008.06.08 | – |
| BitDefender | 7.2 | 2008.06.09 | – |
| CAT-QuickHeal | 9.50 | 2008.06.07 | – |
| ClamAV | 0.92.1 | 2008.06.09 | – |
| DrWeb | 4.44.0.09170 | 2008.06.08 | Trojan.PWS.Gamania.origin |
| eSafe | 7.0.15.0 | 2008.06.05 | – |
| eTrust-Vet | 31.6.5858 | 2008.06.08 | – |
| Ewido | 4.0 | 2008.06.08 | – |
| F-Prot | 4.4.4.56 | 2008.06.08 | W32/Heuristic-166!Eldorado |
| F-Secure | 6.70.13260.0 | 2008.06.09 | Trojan-PSW.Win32.Nilage.djl |
| Fortinet | 3.14.0.0 | 2008.06.08 | – |
| GData | 2.0.7306.1023 | 2008.06.09 | Trojan-PSW.Win32.Nilage.djl |
| Ikarus | T3.1.1.26.0 | 2008.06.09 | – |
| Kaspersky | 7.0.0.125 | 2008.06.09 | Trojan-PSW.Win32.Nilage.djl |
| McAfee | 5312 | 2008.06.06 | – |
| Microsoft | 1.3604 | 2008.06.09 | – |
| NOD32v2 | 3166 | 2008.06.09 | – |
| Norman | 5.80.02 | 2008.06.06 | – |
| Panda | 9.0.0.4 | 2008.06.08 | – |
| Prevx1 | V2 | 2008.06.09 | – |
| Rising | 20.47.42.00 | 2008.06.06 | – |
| Sophos | 4.30.0 | 2008.06.09 | Mal/Emogen-R |
| Sunbelt | 3.0.1145.1 | 2008.06.05 | – |
| Symantec | 10 | 2008.06.09 | – |
| TheHacker | 6.2.92.339 | 2008.06.07 | – |
| VBA32 | 3.12.6.7 | 2008.06.08 | – |
| VirusBuster | 4.3.26:9 | 2008.06.08 | – |
| Webwasher-Gateway | 6.6.2 | 2008.06.09 | – |
| 追加情報 | |||
| File size: 45056 bytes | |||
| MD5…: 3ba6e1630b326685a9120d2ca0c28da6 | |||
| SHA1..: c3faaa6deee5c5efe650a50795755c5c7d696104 | |||
| SHA256: 77081a801a41afcc1dbb763fba5c8c0d13eea9352816e98fb925e5f00f331997 | |||
| SHA512: 63427992f5ad06e97bde54daca87844939f14bc110cdb44c8420077c4d4b90c6 b54931f94cb536c05464cf85ab4bfc0dadb2d60a9b00ca0ae4bd1a89c8b44de6 |
|||
| PEiD..: Armadillo v1.xx – v2.xx | |||
| PEInfo: PE Structure information
( base data ) ( 4 sections ) ( 6 imports ) ( 4 exports ) |
|||
ただ、問題はやっぱり感染経路がわからないことなのですがPSW.Generic6.NZQではどうやっても検索できないので「Avast」の解析結果である「Win32:Nilage-MT」で検索してみたところ2chのログが引っ掛かりました。
●グーグルのキャッシュ:セキュリティ初心者質問スレッドpart108 <http://209.85.175.104/search?q=cache:Qi0HLyl78yQJ:pc11.2ch.net/test/read.cgi/sec/1209785361/734-833+orz.exe&hl=ja&ct=clnk&cd=3&gl=jp&lr=lang_ja&client=firefox>
●セキュリティ初心者質問スレッドpart109
<http://pc11.2ch.net/test/read.cgi/sec/1211880902/>
以下スレの抜粋
585 :名無しさん@お腹いっぱい。:2008/06/09(月) 17:51:26
【使用OS】XP Home SP3
【使用ブラウザ】Firefox
【Microsoft Updateの更新の状態】自動更新設定
【セキュリティソフトと年式】avast home、zone alarm
【スパイウェア対策ソフト】spybot【回線の種類・ルータの有無】ADSLでルータ使用中
【具体的な症状】
ttp://●●●alfa.livedoor.biz/archives/51309254.html を開こうとした瞬間
aa.gifとorz.exe(両方ともWin32:Nilage-MT)を検出と出る。【過程と措置】
駆除してすぐLANケーブルを抜いて、プロセスに妙なものがないかチェック。駆除できてるか心配です。
何をすればいいでしょうか?586 :585:2008/06/09(月) 18:01:25
間違えました
aa.gif→taa.gif587 : ◆N9P3SuvBPo :2008/06/09(月) 18:10:58
>585
大丈夫なんじゃね?たぶん588 :名無しさん@お腹いっぱい。:2008/06/09(月) 18:29:31
リンク貼らないほうがいいぞ
コピペでも犯罪になるって言ってた589 :585:2008/06/09(月) 18:34:28
>>587
私だけの少女のようですしorz.exeでgoogle検索したら
このスレの過去ログが出てきてスタートアップになにか潜むようです。
(感染したらなのかは不明ですが確認しても無かった。)>>588
すいません・・・先頭のhを抜けば大丈夫と思ってました。592 :585:2008/06/09(月) 18:56:44
今、LANケーブルを抜いてavastでスキャン中です。チェックした事柄を書きます。
・スタートアップチェッカーってソフトでプロセス、スタートアップ、サービスを確認
・レジストリエディタのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの項目確認
・スタートメニューのスタートアップの中を確認
・LANケーブルを抜く前にTCP Monitor Plusってソフトで通信を確認
593 :名無しさん@お腹いっぱい。:2008/06/09(月) 19:27:03
>>585
まぁ、駆除という言葉が妥当かどうかは分からないが、セキュリティソフトが検出した時点で
不正プログラムの実行は遮断されるので問題ない。該当ページを開いてみたけど、ランダムバナーのせいか、該当ファイルは見つかりませんでした。
593 :名無しさん@お腹いっぱい。:2008/06/09(月) 19:27:03
>>585
まぁ、駆除という言葉が妥当かどうかは分からないが、セキュリティソフトが検出した時点で
不正プログラムの実行は遮断されるので問題ない。該当ページを開いてみたけど、ランダムバナーのせいか、該当ファイルは見つかりませんでした。
594 名前: 585 投稿日: 2008/06/09(月) 19:40:15
>>593
一応、検知漏れがあると怖いのでWindows上でのスキャンをしていましたが
中止してブートタイムスキャンをやっています。バナーにウイルスがついてくるってある話なんですか?
595 名前: 585 投稿日: 2008/06/09(月) 20:59:53
どうやら前スレでもorz.exeの話は出てるみたいですね。
googleのキャッシュで見れたので結果がどうなったかわかりませんでした。596 :585:2008/06/09(月) 21:21:48
ブートタイムスキャンしてもなんも出てきませんでした。
cure it!使ってみます。ちなみにさっきのアドレス開きましたが出なかった・・・・
597 :名無しさん@お腹いっぱい。:2008/06/09(月) 21:55:30
うーん、どうもFlashがらみの問題のようだね。
taa.gifの本体は手に入れたけど、ちょっと質問Flash のバージョンは?
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
通常は 9,0,124,0orz.exe が検出された場所は?
例) C:\Documents and Settings\[User]\Local Settings\Temp 等
598 :585:2008/06/09(月) 21:57:09
連レス続けてすいません。589に誤字がありました。
少女→症状あと>>429さんはやばいと言っているのですが・・・・
599 :585:2008/06/09(月) 21:58:56
>>597
WIN 9,0,115,0でした。orz.exeはC:\DOCUME~1\ユーザー名LOCALS~1\Temp\orz.exe
taa.gifはC:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\POSB9T8D\taa[1].gif
です。600 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:00:59
>>599
アウトです。
アカウントハックウイルスに感染しました。ちょっと動作確認してみます……601 :585:2008/06/09(月) 22:02:19
>>600
え・・・・なんてこった・・・・TCP Monitor Plusのログを見た感じだと妙なところにつながっている様子はないですが・・・・
605 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:16:28
>>601
ちょっと亜種が多くて、どーなってるのかな。
FW606 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:18:13
何も見てない時は動きは皆無です。608 : ◆N9P3SuvBPo :2008/06/09(月) 22:22:50
ComboFix & HijackThisのStartUpList & eScan & GMER609 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:23:26
avast最新状態でブートタイムスキャンしましたが駄目でしょうか?610 :名無しさん@お腹いっぱい。:2008/06/09(月) 22:24:43
がはっFWに引っ掛かりました?
もともと、ネトゲのパス抜きなのでネトゲをやっている場合、可能なら別PCでパスを変えてください。うちでは、orz.exe ができなかっのですが、System32 フォルダに DLL をドロップしてました。
taa.gif と orz.exe はもしかするとダウンロードした瞬間にアンチウイルスで検知された可能性が高いです(感染していない)。
ただ、上記のように DLL をドロップする場合もあるので Windows, Windows\system32 フォルダに怪しい DLL が無いか確認してみてください。
Silent Runners や Autoruns 等で怪しいのが無いかチェック。ぶっちゃけ、すべてのオンラインスキャナー使ってチェックしてみた方がいいかも。
611 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:28:57
>>608
全部ですか?
>>610
FWは無反応です。ネトゲは全くやってないです。
一応両方ともavastで引っかかったので大丈夫かな・・・と思っているんですが。
Silent Runners や Autoruns、スペルスキーオンラインをしてきます。612 : ◆N9P3SuvBPo :2008/06/09(月) 22:30:46
>611
まさか!
そんな大量のログ貼られたら埋まっちまうわw
特にeScanは時間掛かりすぎるぜ。614 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:35:19
両方のログ取れましたが分割書き込みですか?ログうpですか?615 : ◆N9P3SuvBPo :2008/06/09(月) 22:36:04
>614
どのログですか?616 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:36:43
Silent Runners と Autorunsです617 : ◆N9P3SuvBPo :2008/06/09(月) 22:37:13
>616
そしたら…うpですね。618 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:41:06
http://www.dotup.org/uploda/www.dotup.org5970.txt.html
autorunsログですhttp://www.dotup.org/uploda/www.dotup.org5973.txt.html
Silent Runnersログです。pass:585
619 :585 ◆Snd.VUp3z. :2008/06/09(月) 22:45:28
今からkasperskyのオンラインスキャンを始めます。
avastを無効にしてkasperskyスキャンをするので次からは携帯で書き込みます。620 : ◆N9P3SuvBPo :2008/06/09(月) 23:06:37
>618
見逃しあったら悪いけどSilent Runners…問題無し
autorunsも問題無し621 : ◆Snd.VUp3z. :2008/06/09(月) 23:09:56
トリ付けてるのでレス番外します。>>620
本当ですか!?
じゃあ感染なしってことですかね?
だとするとあの二つのファイルは一体どこから来たのか・・・622 :593 ◆ZrU7xJs76o :2008/06/09(月) 23:11:36
>>618
こっちも問題なし623 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:13:33
>>622
お二方共に問題無し・・・・
これは奇跡の危機回避フラグですか?623 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:13:33
>>622
お二方共に問題無し・・・・
これは奇跡の危機回避フラグですか?624 : ◆N9P3SuvBPo :2008/06/09(月) 23:16:36
>621
レス番は付けておいた方が良いと思うが
まあ、いいかな…たぶん、
>622さんも問題ないよって言ってるし、でもorz.exeが
C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\から発見されたんだよね。
でも、そこまで調べる気力は無いです…はい。625 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:20:05
>>623のトリが抜けてました。>>624
レス番付けました。
私もなぜtempでorz.exeが発見されたのか予想がつきません。626 :名無しさん@お腹いっぱい。:2008/06/09(月) 23:27:19
>>623
> ダウンロードした瞬間にアンチウイルスで検知された
これが正解だと思う。亜種が多いので確実ではないが、Flash経由でダウンロードされるのが taa.gif(実行ファイル)。
記録には残ってないと思うが、裏でBATファイルの実行をしている。
おそらく、名前が同じ事から、taa.gif → orz.exe にリネーム・コピーされたと思う。ところで、気になった点
・Flash 古い。すぐに 9,0,124,0 に更新
・JRE 1.5.x が古い。すぐに最新(JRE 1.5.0 Update 15?)に更新627 : ◆N9P3SuvBPo :2008/06/09(月) 23:29:43
>625
そこなんだよな~
orz.exeは既に削除済みなんですよね?ネット見てて、リアルタイムで検出→削除→手動スキャン→検出なし
なら大概は大丈夫だけど、
手動スキャン→検出ありだったら不味いので。628 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:29:47
>>626
なるほど、助かったのかなぁ
最新版更新了解しました。kasperskyのスキャンが無事終わりしだい更新してきます。629 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:32:16
>>627
手動スキャン(先程のブートタイムスキャン)では検出されず、
kasperskyオンラインスキャンも現在92%でウイルス0です。630 : ◆N9P3SuvBPo :2008/06/09(月) 23:44:14
>629
あとは、セーフモードでeScanをやって、マルウェアの検出が無ければOKかな?
eScanの使い方↓
ttp://www.higaitaisaku.com/escan.htmlあとは…
「スタート」→「検索」→「ファイルやフォルダの検索」で
orz.exeが発見された日と同じ日に作成されたファイルを検索
怪しいものは片っ端から”Virustotal”に突っ込んでやるとか眠たくなってきたので、これで失礼する
後よろしくお願いします632 :585 ◆Snd.VUp3z. :2008/06/09(月) 23:48:14
>>630
了解しました。eScanやってみます。633 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:07:43
http://www.dotup.org/uploda/www.dotup.org6048.jpg.html
PASS:585
orz.exe検知と同時刻(時間も分も)の変更ファイルです。kasperskyは一部のファイルがロックされていますになりましたが
ウイルスは0でした。634 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:14:59
あ、ちなみにファイル本体ではなくスクリーンショットです。635 : ◆ZrU7xJs76o :2008/06/10(火) 00:18:25
>>633
これは、Flashの設定ファイルなので特に関係ないです。
一応、カスペでは、ドロップした DLL も検出可能なので安全になったと思います。
ちょっとavastのリアルタイムスキャンの仕組みが分かりませんが……。636 :585 ◆Snd.VUp3z. :2008/06/10(火) 00:20:19
>>635
ブートタイムはウィンドウズ起動前(ロゴが出てバーが出てすぐ)に実行されるやつですが
リアルタイムスキャンは私もよく知りません。今からセーブモードでeScanいってきます。
644 :585 ◆Snd.VUp3z. :2008/06/10(火) 07:33:29
睡魔が限界でシステムボリュームインフォメーションを検索途中で中止しました。
その時点でウイルスは明らかに誤検出1つと削除済みのexe、3つ。
スパイウェアはよく覚えてないです。今日帰宅後にもう一回やりますが、他にやった方がいいことはありますか?
648 : ◆ZrU7xJs76o :2008/06/10(火) 13:55:21
>>644
何度か試したのですが再現しなかったので確認だけ。1. C:\WINDOWS\system32\sonb32drv.dll があるか?
2. HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks に
{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
4. C:\WINDOWS\system32\drivers\etc\hosts が無くなっているか?上記項目に1つも当てはまらない場合は、orz.exe は実行されていません(感染していない)。
あと、使用ブラウザが Firefox となっていますが >>599 で侵入経路は IE です。この点は注意してください。668 :585 ◆Snd.VUp3z. :2008/06/10(火) 15:32:52
>>648
1、なし
2、なし
3、なし
4、無くなってない今 eScanのログうpします。
670 :585 ◆Snd.VUp3z. :2008/06/10(火) 15:39:52
http://www.dotup.org/uploda/www.dotup.org6318.txt.htmlログです。pass585
674 : ◆ZrU7xJs76o :2008/06/10(火) 15:53:00
>>670
ログを見るまでもなく、感染していません(実行されていません)。
というわけで、この件はこれで終了です。
後は、IE に Flash が入っているなら 9,0,124,0 に更新してください。684 :585 ◆Snd.VUp3z. :2008/06/10(火) 16:53:24
>>674
了解しました。
一応ESET、bit、f-secureのオンラインやっておきます。アドバイスして下さった皆様、本当にありがとうございました。
1. C:\WINDOWS\system32\sonb32drv.dll があるか?
2. HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks に
{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA} があるか?
4. C:\WINDOWS\system32\drivers\etc\hosts が無くなっているか?
おいらの場合上の1と3と4があてはまるわけです。アウトです。orzです。orz.exeでホントにorzです。ありがとうございました。
しかも「◆Snd.VUp3z」がいってる感染もとのページおいらも見てるページだしorz
ttp://●●●alfa.livedoor.biz/archives/51309254.html
しかも、スレにあるように下の通りFlashの脆弱性による問題らしい。そう、PCを再起動したときにFlashのアップデート来てたしorz。Flashの脆弱性ですかそうですか、まー大体感染経路が特定できたと考えていいのかな?感染元が上のサイトではないにしても何処かのページを見たときにFlashの脆弱性がらみで感染した可能性が高そうです。
>うーん、どうもFlashがらみの問題のようだね。
>taa.gifの本体は手に入れたけど、ちょっと質問
Adobe – Flash Player: Adobe Flash Player 9リリースノート – Flash Player 9.0.124.0 における修正点と改善事項<http://www.adobe.com/support/documentation/jp/flashplayer/9/releasenotes.html#fixes_90124>
今のところ変なトラフィックなどはない様です。とりあえず大丈夫なのだろうか?
しかし、何たる不覚。偶然hostsが消えることに気付いたから良かったのだけど、そうじゃなかったらしばらく気付かなかったですね。怖すぎます。最近「セキュリティーmemo」怠けてみてなかったバチですね。トホホ
セキュリティホール memo
<http://www.st.ryukoku.ac.jp/~kjm/security/memo/>
今回の教訓ですが、ウイルスのスキャンはやっぱり毎日またはせめて週に1回はやるようにスケジュールスキャンを設定した方が良いです。最近ちょっと調子こいてました。災いは忘れた頃にやってくるです。最近のウイルスはより巧妙になって何処から入ってくるのは判らないので、初回完全スキャンのみで後はリアルタイムスキャンだけってのはやっぱり無謀みたいです。セキュリティーソフトがその時点で対応していない可能性もあるのでやはり定期的なスキャンは必要ですね。(あたりまえですね。。。)海より深く反省。orz
ところで、僕が今回のウイルスに感染した時点でAVG8.0はこのウイルスに対応していなかったのだろうか?それとも対応していたのにリアルタイムスキャンが働かなかったのだろうか?リアルタイムスキャンで検出できなかったのであれば、ちょっと問題だなーと思ってます。2ちゃんねるに書き込んだ人はAvastで結果的にリアルタイムスキャンで検出してちゃんと防御できていたわけです。ちょっとAvastに浮気しそうです。元々はAvast!の方が日本語対応もされていたし使うならこれと思っていたのですが、ファイヤーウォールソフトとの相性があるとかないとかそういう話があったところにAVGが日本語化したのでそっちに流れちゃったってあるんですよね。
兎に角しばらく問題がないか用心して様子を見てみようと思います。(Avast!いれちゃうかも)
関連記事:
「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認 – INTERNET Watch
Windows Live Writer最新β版がでてます。(Build 14.0.5025.904) – 2008.09.17- Windows 7のセキュリティ対策
最近のノートン先生
Windows Live Writer Technical Preview(Build 14.0.3913.522)en をWindows2000にインストールしてみた。- VMware Player 2.0.5 Build 109488
avast! 4 Home Editionのオンアクセス スキャナと別マシンで動作しているPOPFileの連携
ギコナビでスクリプトエラーが出るようになった。- .htaccessでトラックバックスパムを排除
- iptablesは必要か?
AVG Anti-Virus Free Edition 8.0 日本語版をインストールしてみた- hostsファイルが勝手に消えていてはまった件2
UNMOUNTABLE_BOOT_VOLUMEエラーについて
OpenDNSを使ってみる
俺でもわかるWindows 2000にWindows Media Player 10をインストールする詳しい手順
Virtual CD-ROM Control Panel for Windows XP
現在Windows2000でネットでの動画の視聴が出来ない状態です。
AVG Anti-Virus Free Edition 8.0 日本語版のちょっとした設定
AVG8.0からavast! 4 Home Editionに乗り換えてみた- Nexus 7 Android 4.2(JOP40C)のroot化ではまった件
AVG Anti-Virus Free Edition 8.0 日本語版のメールスキャナと別マシンで動作しているPOPFileの連携
足立自動車学校のホームページが新型8080系ガンブラーに感染しているようです。
[無料ウイルス対策ソフト]gred AntiVirusアクセラレータ1.0.26をインストールしてみた。
avast!5.0系でスクリーンセーバー検査の細かい設定を行うには
Windows Live Writer Beta (Build 14.0.5025.904)のインストールファイルWrinter.msiの入手方法
続・犯人はPC Tools Firewall Plus
Windows 2000にWindows Media Player 10をインストール その2
Shockwave PlayerがいつのまにかWindows2000が非対応になってた。- MSの月例パッチに不具合。IEが異常終了するそうです。
- Windows2000でGyaoやYahoo!動画が見れない – 問題回避編
