「ちゃっちゃと調べといてね」と言われたので「ちっちっち」と舌打ちしながら調べました。(しょうもないですね・・・なんだかなぁ)
ネタ元はいつも拝聴(拝読?)させてもらってるサイトさんからのものでした。
おからだおだいじにしてくださいねー。
調べた後に「あんまり意味ないやん」な事に気付いて愕然としたりしてますが、まぁそこはそれ〜。
てんこもりサイト、「受動的攻撃」なサイトは増え続けてると思うので珍しくはないのですが、傾向が少し変わりつつあるのではないかなと。過去に多かったMS02-015,MS03-011,MS04-013 (MS05-001,MS05-002)だけでなく、MS04-025(Psyme,Download.Ject)とMS04-040の複合型増えてきたような。(気がするだけかも)
根拠ない憶測ですけど、これだけ合わせ技でやられると別な穴開けられそうにも思えるんですがどうなんでしょ?。
てなかんじ(どんなかんじ?)のタダの駄メモですけど・・・
※pre要素内は VirusTotalでの結果です。オンデマンド(手動)スキャンの結果とは違う場合もありました。
- indexほげ.html
-
- Trojan-Downloader.JS.Psyme.am
- Win32/Exploit.IEDword(NOD32アンチウイルス)
- Download.Trojan(Norton AntiVirus)
AntiVir 6.30.0.15 06.05.2005 TR/PSWLDPinch.GK.2 AVG 718 06.04.2005 JS/IllWill Avira 6.30.0.15 06.05.2005 TR/PSWLDPinch.GK.2 BitDefender 7.0 06.05.2005 Exploit.ADODB.Stream.Gen ClamAV devel-20050501 06.05.2005 Trojan.JS.RunMe DrWeb 4.32b 06.05.2005 Trojan.DownLoader.588 eTrust-Iris 7.1.194.0 06.05.2005 JScript/IE.VM!Exploit eTrust-Vet 11.9.1.0 06.03.2005 HTML.ByteVerify!exploit Fortinet 2.27.0.0 06.04.2005 JS/Bagle.AT-dldr Ikarus 2.32 06.03.2005 Exploit.IE.Dword Kaspersky 4.0.2.24 06.05.2005 Trojan-Downloader.JS.Psyme.am McAfee 4506 06.03.2005 VBS/Psyme NOD32v2 1.1128 06.05.2005 Win32/Exploit.IE.Dword Sybari 7.5.1314 06.05.2005 HTML.ByteVerify!exploit Symantec 8.0 06.04.2005 Download.Trojan TheHacker 5.8-3.0 06.04.2005 VBS/Psyme VBA32 3.10.3 06.05.2005 Exploit.CodeBaseExec
各社バラバラだったりしますが、その訳はてんこもりの「合わせ技」だからですね。Nortonでは検出状態によってDownloader.Psymeだったり、なぜかW32.Beagle.AQ@mmだったり(ソースが似てるのかな?)しました。
- ほげa.html
-
MS04-040ですね。
AntiVir 6.30.0.15 06.05.2005 HTML/Expl.IframeBof AVG 718 06.04.2005 I-Worm/Bofra Avira 6.30.0.15 06.05.2005 HTML/Expl.IframeBof BitDefender 7.0 06.05.2005 Exploit.Html.Iframe.Bof.Gen eTrust-Iris 7.1.194.0 06.05.2005 HTML/IFRAME_BO!Exploit!Trojan eTrust-Vet 11.9.1.0 06.03.2005 HTML.IFrame!exploit Kaspersky 4.0.2.24 06.05.2005 Exploit.HTML.IframeBof McAfee 4506 06.03.2005 JS/Exploit-BO.gen Norman 5.70.10 06.04.2005 HTML/IFrameExploit Symantec 8.0 06.04.2005 Bloodhound.Exploit.18
- Windowsほげ.exe
-
これが本命のBackdoorのもよう。かなり危険なヤツです。不正実行は複数の方法が試行されるようです。
- Trojan-Dropper.Win32.Pincher.a
- Symantec Security Response - Backdoor.Berbew.R
- BKDR_BERBEW.P(ウイルスバスター)
- ウイルスの可能性 : NewHeur_PE ウイルス(NOD32アンチウイルス)
AntiVir 6.30.0.15 06.02.2005 TR/Drop.Pincher.A.2 Avira 6.30.0.15 06.02.2005 TR/Drop.Pincher.A.2 BitDefender 7.0 06.02.2005 Dropped:Trojan.PWS.LDPinch.386 DrWeb 4.32b 06.02.2005 Trojan.PWS.LDPinch.412 eTrust-Iris 7.1.194.0 06.02.2005 Win32/Berbew.25315!Trojan eTrust-Vet 11.9.1.0 06.02.2005 Win32.Pinteep.G Fortinet 2.27.0.0 06.02.2005 W32/Berbew.R-bdr Ikarus 2.32 06.02.2005 IM-Worm.Win32.Sumom.C Kaspersky 4.0.2.24 06.02.2005 Trojan-Dropper.Win32.Pincher.a McAfee 4504 06.01.2005 PWS-LDPinch NOD32v2 1.1123 06.02.2005 a variant of Win32/PSW.LdPinch Norman 5.70.10 06.01.2005 W32/MEWpacked.gen Sybari 7.5.1314 06.02.2005 PWS-LDPinch Symantec 8.0 06.02.2005 Backdoor.Berbew.R VBA32 3.10.3 06.01.2005 Trojan-Dropper.Win32.Pincher.a
Kasperskyはしっかり対応してるのですが、AntidoteやMWAVなどのオンデマンドスキャンでは検出されませんでした。また、eTrust EZ Antivirus では手動スキャンでは検出しませんでしたが、MWAVでのスキャン中に検出しました。
インストーラそのものは、大抵UPX形式などで圧縮されている為、このパッカーに対応していない場合はこういうこともよくあるようです。普通だと手動スキャンの方が検出力が高いと思われがちなのですが、実際に対応しているか実行時でないと判別できないこともあるということですね。。安全面から言えば、実行時に検出してくれればいいんですが、何かの感染時にはオンデマンドスキャンで未検出でも安心しないように注意は必要かもですね。↑あっ、これ全部Lucaさんの受け売りだったりしますが・・(滝汗)
【6/7追記】ちょっと訂正です。(連絡頂きました。有難うございます> Lucaさん)
「未対応のpackerまたはarchiverで圧縮されていたり、また検出を回避するような仕込みのあるファイルは、手動スキャンでは検出できない事例も多い」
とのことです。(他力本願ばっかしすいません)
「未対応のパッカー」を悪用するといわゆる「DoS攻撃」(この場合のDoSって要するにハングアップさせるってことです)が可能になっちゃいます。私も以前新種のワームをメールで受信したら、10分ほどフリーズ(Nortonさんがスキャンしまくり状態)しちゃったことがありました。かなり怖かったです。なもんで、怪しいファイルはダウンロードしただけで危険はあるってことで注意しましょう。フリーズ状態で操作を間違うと実行されてしまいますから。(ってやってたオマエが言うなぁ!みたいな・・)
- Windowsほげ.cab
-
- Trojan-Dropper.Win32.Small.zr
- Symantec Security Response - Backdoor.Berbew.R
- BKDR_BERBEW.P(ウイルスバスター)
DrWeb 4.32b 06.05.2005 Trojan.MulDrop.2202 Fortinet 2.27.0.0 06.04.2005 W32/Small.ZR-tr Kaspersky 4.0.2.24 06.05.2005 Trojan-Dropper.Win32.Small.zr
- ほげ.gif
-
中身はエンコードされたスクリプトでした。
Norman 5.70.10 06.04.2005 JS/Exploit_based.D Sybari 7.5.1314 06.05.2005 JS/Exploit_based.
最近の傾向として、エンコード(JScriptやURLエンコード)、または文字列をちょっといじって検出逃れの細工をしてる場合が多いようです。
この他に、MS02-015,MS03-011などもあるのですが集中力が続かないのでこの辺でやめときます(汗)。ていうか、むっちゃ疲れますので。
このサイトもそうなんですが、「受動的攻撃」を仕掛けるサイトはアクセスしても何も表示されない場合も多いようです。(本文が書かれていない。)スパイウェア・アドウェアなどの症状がなくてもこれらのBackdoorに感染する危険もあるということを意識しておいた方がいいかなと思います。
でもまぁ、これらの攻撃のほとんどは「スクリプト」ですから。無効にしてたら防ぐ事はほぼ可能です。必要時以外は無効しておくのが安全ですね(月並みだなぁ・・)