Palm84 某所の日記

クマのみ胸をこがすと思へば...

Cool Web Search 更新10/23

10/10 【Downloader.Lunii】(loaddadv65.exe)について追記。
10/23追記: NOD32【TrojanDownloader.Harnig.NAD】(loaddadv65.exe)に対応

少し以前ですが、あるサイトの管理人さんとメールのやり取りをしました。その際に問題となったアドレスについて、IEセキュリティ設定【中】状態(つまり初期設定のまま)でアクセスしてみました。

えー【感染実験】する勇気はないので、Spyware Blaster 導入、及びSpybotの保護機能(Tea Timer も)・Hostsファイル有効にしました。(もちろんWindows Updateもやってます。)事前にソースチェッカーオンラインで調べてみましたが危険なものは検出されませんでした。

ソースの解釈や不正実行の方法とかは間違ってるかもしれません。あくまで私のスキルの範囲での検証ですのでご容赦ください。(少し以前なので現時点では変わってるかも。)

例によって全然まとまってないんでお許しを。

アクセス時の状態

Windows2000 + Norton AntiVirus 2004(以下NAV)

アクセスと同時に以下を検出。

後方に全画面表示ウインドウが出る(中身はgif画像) 小さな(警告)POPアップウインドウが出る、クリックすると「無効な構文エラー」のページが表示される。ActiveXコントロールのダウンロード画面(【セキュリティの警告】)が出ます。

Windows2000 + マカフィーウイルススキャン ver.8

アクセスと同時に以下を検出。

全画面表示のウィンドウが現れる。GIF画像が表示され、そのまま待つと「Opera.com」のリンクが現れる。隠しウィンドウもありました。 それを消すと小さな(警告)POPアップウインドウ。クリックすると空白ページ表示。ActiveXコントロールのダウンロード画面は出ない。

WindowsXP Pro SP2 + ウイルスバスター2004

アクセスと同時にJAVA_BYTEVER.A検出。

小さなPopUpが出るがクリックしても何も起こらない(ブロックされる)。 その他のPopup・ActiveXはブロックされる(情報バーが表示されます)。

WindowsXP Home SP2 + NOD32アンチウイルス

アクセスと同時に【gdnjp333.exe】を【Win32/Dialer.NAD トロイ】として検出

小さなPopUpが出るがクリックしても何も起こらない(ブロックされる) その他のPopup・ActiveXはブロックされる(情報バーが表示されます)。

後で手動スキャンをかけたら、Javaのキャッシュフォルダから【Java/ClassLoader】が2種類検出されました。。

小さなPOPアップ(警告)ウィンドウ

OKボタンまたは【×】しかクリックできない どちらをクリックしてもスクリプトが実行されるしくみ。 (クリックしないとIEを閉じる事もできない)

ローカルリソースアクセスの脆弱性を狙った(?)コードが書かれていますが、 開かれるのはローカルファイル(IEのヘルプページ)となっています。陽動作戦なのか、さらに別のスクリプトを呼び出すのか、どっちなのか私にはわかりませんでした。

Win2000ではパスが違うので「無効な構文エラー」の表示が出ました。XP SP2ではクリックしてもブロックされるので何も起きません(POPアップブロック有効な場合)

CGIスクリプトから(?)ActiveXコントロールなどをダウンロード

iframeからいくつかのファイルが呼び出されます。スクリプト・ActiveXなどを無効にしていてもiframeによるプログラムの起動はブロックされません。(ダイアログ画面が出ます)。セキュリティ設定が【高】の場合は呼出不可となるので何も起こらなくなります。

ファイル名は【gdnjp333.exe】となってました。但し、このファイル名はランダムに変わるらしいです。多分、他にも色々インストールさせようとするのだと思いますが。

ActiveXは「いいえ」をクリックしてこのファイルのみダウンロードして確認してみました。ノートン・マカフィー・ウイルスバスターではこのファイルについて、リアルタイムでは反応しませんでした。

手動スキャンの結果

AVG Free6.0とNOD32ではリアルタイム(常駐監視機能)で検出されました。 それぞれ【Trojan Horse Dialer.8.AP】【Win32/Dialer.NAD トロイ】です。

ウイルスバスター、及びSpybot・Ad-Awareでは全く検出されませんでした。avast!4では【Win32:Dialer-Y [Trj]】として検出されるみたいです。

MS04-013 MS04-025 関連のExploit

11/26追記:現時点では>このExploitが仕込まれているようです。Norton・マカフィー・eTrustなどで検出します。

ソースを見てみましたら(私でもわかる範囲ですが)、 MS04-013・MS04-025関連のコードが見つかりました。 【Download.Ject】ってことでしょうか?

Nortonでは同じ文字列でも検出された状況によって検出名が変わるんですねぇ。ソースを保存すると【MHTMLRedir.Exploit】、view-source: だと【Download Trojan】、 飛び先のチェックでは【Bloodhound.Exploit.10】となりました。

前述のサイトで問題になったのは、HijackThisのログに同じ文字列があり、これらにNAVやマカフィーなどのウイルス対策ソフトが反応(それぞれBloodhound.Exploit.6Exploit-MhtRedirしてしまう(テキストファイルとして保存もできません)ということでした。ただ、別のサイトに同じ文字列が含まれたログがありましたが、そこでは反応しませんでした。理由はよくわかりません。

Trojan.ByteVerifyによるexeファイルの実行 - Downloader.Lunii

これはMS03-011狙いのExploitです。もちろん、パッチが当たっていれば不正実行は阻止されます。

全画面表示ウィンドウ(陽動作戦かな?)を出し、その裏で実行させるようです。

呼び出されるファイルを直接ダウンロードして確認してみました。 ファイル名は【loaddadv65.exe】でした。

これ(【loaddadv65.exe】)が本命(?)の不正プログラムのようです。Hostsファイルの書き換えを行います。同時にJava関連のファイルなどがダウンロードされるようです。

多分、パッチの環境によってはレジストリの書換え(スタートページ変更及び信頼済みサイトへの登録)などもされるのではと。

リアルタイムで検出されなかった場合は、手動スキャン時にJavaのキャッシュフォルダから(このExploitを)検出するようです。

【loaddadv65.exe】についてはNorton・ウイルスバスター・マカフィー・NOD32・Ad-aware・Spybotでは未検出でした。下記サイトで確認すると以下のとおり検出されました。

Hostsファイルを書き換えて対策サイトへのアクセスを妨害するやつですね。

10/10追記:↑そんな単純なものじゃないようです。NortonAntiVirusがDownloader.Luniiとして対応しました。リアルタイムで検出可能です。

Downloader.Lunii が実行されると、次のことを行います。
次のファイルをダウンロードして、実行します。

  • %Windir%\toolbar.exe
  • %Windir%\mstasks1.exe
  • %system%\dktime.exe
  • %system%\dk.exe
  • %system%\dk32.exe
  • %system%\sexxx.exe

NOD32アンチウイルスでは10/23付で【TrojanDownloader.Harnig.NAD トロイ】として対応しました。

【dktime.exe】って、最近よく耳にしますがこれだったんですね。マカフィーのQHosts-18Downloader-PZと同じもののようです。

しかし、この【loaddadv65.exe】はNorton・NOD32以外では一切検出されません(10/23現在)。Trojan.ByteVerifyを阻止(MS03-011のパッチ導入済)なら実行されませんが注意が必要かも。

注意:これは中身がコロコロと改変されるようです。その2に書きました。バックドアやダウンローダー、設定変更監視プログラムみたいなのなどてんこ盛りでインストールするとんでもないやつです。駆除は無茶苦茶大変だと思われます。

ActiveXで「はい」をクリックしてみましたー。

はい、もちろんリカバリー覚悟の上です。LANケーブルは速攻外しましたよ。

【gdnjp333.exe】がメモリ内に常駐しましたが数十秒後に消えました。Tea Timer が何も反応しなかったのでレジストリへの登録は(多分Spyware BlasterのKill Bits機能によって)阻止されたようです。HijackThisのログにも変更点はありませんでした。でもウイルススキャンではDownloaded Program Filesから【gdnjp333.exe】が検出されたのでもしかするとですが、別のページに「トリガー」があって画像クリックと同時にActiveXコントロールが動くとかそんなものなのかもしれません。(かなり以前のダイアラーがそんなんだった)。

というか、アナログモデムついてないんで何も起こらなかったのかも。でもやっぱり不安なのでOS再インストールしましたけども...。

雑感

私自身勉強になったこと。

  1. ウイルス対策ソフトについて
    • 大手3社は【Exploit】への対応を進めている。(但し、修正済みのセキュリティホールについては検出されなくても危険じゃないと思います。)
    • スパイウェア対応と謳っているソフトでもリアルタイム(常駐監視機能)では検出せず手動スキャンのみ対応の場合が多い。また、検出してもレジストリの修正はできない。
    • 逆にAVGなどはダイアラーそのものをリアルタイムで検出する(こともある)
    • 【Exploit】検出については、意味がわからない方などは戸惑ってしまうかも。
    • ダイアラーなどは、Ad-AwareなどのSpyware対策ソフトでも検出されないものがウイルス対策ソフトで検出されることもあるということ。(もちろん逆の方が多いと思いますけど)
  2. IEのキャッシュについて
    • ダウンロードを許可しなくても一時フォルダにダウンロードされるということ。
    • パッチ導入済みのExploit関連のファイルが検出されても、検出場所が一時フォルダのみなら殆どの場合感染を意味しない。

対策・予防法については語りつくされた感があり、私ごときの出る幕じゃないとは思います。不正なExploitの殆どはスクリプト無効にすれば防げます。また、エグいスパイウェアの多くはActiveXを使ってインストールされますからこれを拒否すればいいだけです。また常時セキュリティ設定を【高】にしていれば殆ど何もされません。

もちろん、ウイルス対策ソフトとWindows Update は最低限(誰でもできる)必要ですね。【義務】と言ってもいいかと。これがないと上記のことを知らないうちに自動実行されてしまいます。

そもそもIE狙いのものについては、他のブラウザ、【Netscape】【Opera】【Mozilla】なら関係なくなります。これらとの【併用】がおすすめです。

でも、やっぱりIEでないと不便になっちゃうサイトも多いので完全乗換えって結構難しいかも。また、設定に気をつけていても「つい、うっかり」ってこともあります。んで、時間が許すなら(そんなに要らない)スパイウェア対策ツールも導入するべきですね。【Spybot】(検出・駆除・IEの保護)【Ad-Aware】(検出・駆除)【Spyware Blaster】(危険なActiveXなどをレジストリに禁止登録)の導入はスパイウェア対策の基本だと巷では言われています。

念のため追記...

(お叱りがあるといけないので言い訳しとこ。)実験PCには他人様の情報とか仕事のデータなど一切入ってないので、悪しからず。OS再インストール前提でやりました。ってかメールとかあんまり来ないし、98%はスパムかウイルスだし(哀)。

未知のセキュリティホールを狙う「ゼロデイアタック」なんてのもあるのでくれぐれもご注意ください。

対策の基本はウイルス対策ソフトとWindows Updateですが、スパイウェア対策は無料でできるものが多く、また、導入による不具合も殆どないのでなるべく多くの【保険】を掛けておくことをお薦めします。