Palm84 某所の日記

有為のクマにかくれり~

「サイミー」が増えてるみたいです。

「ちゃっちゃと調べといてね」と言われたので「ちっちっち」と舌打ちしながら調べました。(しょうもないですね・・・なんだかなぁ

ネタ元はいつも拝聴(拝読?)させてもらってるサイトさんからのものでした。

おからだおだいじにしてくださいねー。

調べた後に「あんまり意味ないやん」な事に気付いて愕然としたりしてますが、まぁそこはそれ〜。

てんこもりサイト、「受動的攻撃」なサイトは増え続けてると思うので珍しくはないのですが、傾向が少し変わりつつあるのではないかなと。過去に多かったMS02-015,MS03-011,MS04-013 (MS05-001,MS05-002)だけでなく、MS04-025(Psyme,Download.Ject)とMS04-040の複合型増えてきたような。(気がするだけかも)

根拠ない憶測ですけど、これだけ合わせ技でやられると別な穴開けられそうにも思えるんですがどうなんでしょ?。

てなかんじ(どんなかんじ?)のタダの駄メモですけど・・・

※pre要素内は VirusTotalでの結果です。オンデマンド(手動)スキャンの結果とは違う場合もありました。

indexほげ.html
AntiVir	6.30.0.15	06.05.2005	TR/PSWLDPinch.GK.2
AVG	718	06.04.2005	JS/IllWill
Avira	6.30.0.15	06.05.2005	TR/PSWLDPinch.GK.2
BitDefender	7.0	06.05.2005	Exploit.ADODB.Stream.Gen
ClamAV	devel-20050501	06.05.2005	Trojan.JS.RunMe
DrWeb	4.32b	06.05.2005	Trojan.DownLoader.588
eTrust-Iris	7.1.194.0	06.05.2005	JScript/IE.VM!Exploit
eTrust-Vet	11.9.1.0	06.03.2005	HTML.ByteVerify!exploit
Fortinet	2.27.0.0	06.04.2005	JS/Bagle.AT-dldr
Ikarus	2.32	06.03.2005	Exploit.IE.Dword
Kaspersky	4.0.2.24	06.05.2005	Trojan-Downloader.JS.Psyme.am
McAfee	4506	06.03.2005	VBS/Psyme
NOD32v2	1.1128	06.05.2005	Win32/Exploit.IE.Dword
Sybari	7.5.1314	06.05.2005	HTML.ByteVerify!exploit
Symantec	8.0	06.04.2005	Download.Trojan
TheHacker	5.8-3.0	06.04.2005	VBS/Psyme
VBA32	3.10.3	06.05.2005	Exploit.CodeBaseExec

各社バラバラだったりしますが、その訳はてんこもりの「合わせ技」だからですね。Nortonでは検出状態によってDownloader.Psymeだったり、なぜかW32.Beagle.AQ@mmだったり(ソースが似てるのかな?)しました。

ほげa.html

MS04-040ですね。

AntiVir	6.30.0.15	06.05.2005	HTML/Expl.IframeBof
AVG	718	06.04.2005	I-Worm/Bofra
Avira	6.30.0.15	06.05.2005	HTML/Expl.IframeBof
BitDefender	7.0	06.05.2005	Exploit.Html.Iframe.Bof.Gen
eTrust-Iris	7.1.194.0	06.05.2005	HTML/IFRAME_BO!Exploit!Trojan
eTrust-Vet	11.9.1.0	06.03.2005	HTML.IFrame!exploit
Kaspersky	4.0.2.24	06.05.2005	Exploit.HTML.IframeBof
McAfee	4506	06.03.2005	JS/Exploit-BO.gen
Norman	5.70.10	06.04.2005	HTML/IFrameExploit
Symantec	8.0	06.04.2005	Bloodhound.Exploit.18
Windowsほげ.exe

これが本命のBackdoorのもよう。かなり危険なヤツです。不正実行は複数の方法が試行されるようです。

AntiVir	6.30.0.15	06.02.2005	TR/Drop.Pincher.A.2
Avira	6.30.0.15	06.02.2005	TR/Drop.Pincher.A.2
BitDefender	7.0	06.02.2005	Dropped:Trojan.PWS.LDPinch.386
DrWeb	4.32b	06.02.2005	Trojan.PWS.LDPinch.412
eTrust-Iris	7.1.194.0	06.02.2005	Win32/Berbew.25315!Trojan
eTrust-Vet	11.9.1.0	06.02.2005	Win32.Pinteep.G
Fortinet	2.27.0.0	06.02.2005	W32/Berbew.R-bdr
Ikarus	2.32	06.02.2005	IM-Worm.Win32.Sumom.C
Kaspersky	4.0.2.24	06.02.2005	Trojan-Dropper.Win32.Pincher.a
McAfee	4504	06.01.2005	PWS-LDPinch
NOD32v2	1.1123	06.02.2005	a variant of Win32/PSW.LdPinch
Norman	5.70.10	06.01.2005	W32/MEWpacked.gen
Sybari	7.5.1314	06.02.2005	PWS-LDPinch
Symantec	8.0	06.02.2005	Backdoor.Berbew.R
VBA32	3.10.3	06.01.2005	Trojan-Dropper.Win32.Pincher.a

Kasperskyはしっかり対応してるのですが、AntidoteやMWAVなどのオンデマンドスキャンでは検出されませんでした。また、eTrust EZ Antivirus では手動スキャンでは検出しませんでしたが、MWAVでのスキャン中に検出しました。

インストーラそのものは、大抵UPX形式などで圧縮されている為、このパッカーに対応していない場合はこういうこともよくあるようです。普通だと手動スキャンの方が検出力が高いと思われがちなのですが、実際に対応しているか実行時でないと判別できないこともあるということですね。。安全面から言えば、実行時に検出してくれればいいんですが、何かの感染時にはオンデマンドスキャンで未検出でも安心しないように注意は必要かもですね。

↑あっ、これ全部Lucaさんの受け売りだったりしますが・・(滝汗)

【6/7追記】ちょっと訂正です。(連絡頂きました。有難うございます> Lucaさん)

「未対応のpackerまたはarchiverで圧縮されていたり、また検出を回避するような仕込みのあるファイルは、手動スキャンでは検出できない事例も多い」

とのことです。(他力本願ばっかしすいません

「未対応のパッカー」を悪用するといわゆる「DoS攻撃」(この場合のDoSって要するにハングアップさせるってことです)が可能になっちゃいます。私も以前新種のワームをメールで受信したら、10分ほどフリーズ(Nortonさんがスキャンしまくり状態)しちゃったことがありました。かなり怖かったです。なもんで、怪しいファイルはダウンロードしただけで危険はあるってことで注意しましょう。フリーズ状態で操作を間違うと実行されてしまいますから。(ってやってたオマエが言うなぁ!みたいな・・)

Windowsほげ.cab
DrWeb	4.32b	06.05.2005	Trojan.MulDrop.2202
Fortinet	2.27.0.0	06.04.2005	W32/Small.ZR-tr
Kaspersky	4.0.2.24	06.05.2005	Trojan-Dropper.Win32.Small.zr
ほげ.gif

中身はエンコードされたスクリプトでした。

Norman	5.70.10	06.04.2005	JS/Exploit_based.D
Sybari	7.5.1314	06.05.2005	JS/Exploit_based.

最近の傾向として、エンコード(JScriptやURLエンコード)、または文字列をちょっといじって検出逃れの細工をしてる場合が多いようです。

この他に、MS02-015,MS03-011などもあるのですが集中力が続かないのでこの辺でやめときます(汗)。ていうか、むっちゃ疲れますので。

このサイトもそうなんですが、「受動的攻撃」を仕掛けるサイトはアクセスしても何も表示されない場合も多いようです。(本文が書かれていない。)スパイウェア・アドウェアなどの症状がなくてもこれらのBackdoorに感染する危険もあるということを意識しておいた方がいいかなと思います。

でもまぁ、これらの攻撃のほとんどは「スクリプト」ですから。無効にしてたら防ぐ事はほぼ可能です。必要時以外は無効しておくのが安全ですね(月並みだなぁ・・)