投稿キャンペーン
トロイの木馬を拾いましたぁ
 なんか,今月はパソコンblogとなっていますけど,今回もパソコン(苦笑
 トロイの木馬(コンピュータウイルスのようなもの)を拾ったので,その記録。

 なお,話は途中からGumblarに飛びますの(笑

 先に書いておくとGumblarには感染していません。トロイの木馬にも感染はしませんでした。(本件,詳細後述)

 ここのところGumblarのこともあるので,ワクチンソフトでディスクのフルスキャンをやってみたんです。
 ちゅーても,ちょっと前に書いたとおりで,先日ディスクエラー検出した際(処理日は1.10頃)にも,念のためディスクのフルスキャンは,やっているんですけどね。
 おもむろにやってみたのは,ワクチンソフトを導入していても,定義ファイルの更新タイミングによっては,リアルタイム検出が出来ない事があって,変なものを貰ってしまうことがあるから。
 今現在,当方が使用しているワクチンは,ESET NOD32 Antivirus 4(スロバキア製。以下,NOD32)という製品。
 スキャンの結果,トロイの木馬を検出しました。ログの一部抜粋↓(一部伏字等あり)
---ここから---
検査ログ
ウイルス定義データベースのバージョン:
4800 (20100123)
日付: 2010/01/24 時刻: **:20:51
検査したディスク、フォルダ、ファイル: C:\ブートセクタ;C:\
C:\Documents and Settings\user.name\Local Settings\Temp\jar_cache***9599350546174844.tmp > ZIP > myf/y/LoaderX.class - Java/TrojanDownloader.Agent.NACの亜種 トロイの木馬

C:\Documents and Settings\user.name\Local Settings\Temp\jar_cache***9599350546174844.tmp > ZIP > myf/y/PayloadX.class - Java/TrojanDownloader.Agent.NADの亜種 トロイの木馬
---ここまで---

 当該ファイル(jar_cache***9599350546174844.tmp)のタイムスタンプは,2009.12.24で,サイズは約5kBです。
 jar_cacheなにがし,というファイルはJavaが作るファイルのこと。Zipと表示されているので,jar_cacheがアーカイブされていて,その中にトロイの木馬が入っている状態です。

 Java/TrojanDownloader.Agent.NACとは,なんぞや?
 NOD32の国内代理店のWebサイトを見ても,ウイルスの一覧らしきものはなく,正体はわからず。わかったのは,2010.1.12の定義ファイルより今回検出した「Java/TrojanDownloader.Agent.NAC」と「Java/TrojanDownloader.Agent.NAD」に対応したということ。
 ということは,jar_cacheなにがしのタイムスタンプが2009.12.24なので,リアルタイム検出は,すり抜けてしまったのだろうと推察。
 別件となるディスクエラー検出時に行ったフルスキャンの後に,定義ファイルに加わったので,前回のフルスキャンでも,検出しなかったと思われます。

 トレンドマイクロなどの国内3大ワクチンソフトのWebサイトには,ウイルス辞典なるものがあって調べることが出来るわけですが,(同一ウイルスであったとしても)ウイルスの名前が各社各様なので,NOD32が検出した名前では,他社のウイルス辞典には載っていないので,調べようがありません。
 たしか,検体を調べてくれるサービスがあったような...
 そういう記憶があったので,探してきたのが,これ↓
・「このファイル怪しい」と感じたら,まずスキャン--VirusTotal
http://itpro.nikkeibp.co.jp/article/COLUMN/20070706/276936/
 これ↑で調べた結果↓

・ファイル名 JavaGame.jar.VIRUS
http://www.virustotal.com/jp/analisis/d4f5bcc9acecb2f53a78313fc073563de9fc4f7045dd8123a23a08f926a3974d-1264305579
> NOD32     4800      2010.01.23  a variant of Java/TrojanDownloader.Agent.NAC

> TrendMicro   9.120.0.1004  2010.01.24  JAVA_BYTEVER.AT
> McAfee     5870      2010.01.23  Exploit-CVE2008-5353
> Symantec    20091.2.0.41  2010.01.24  Downloader
> Microsoft   1.5405     2010.01.24  Exploit:Java/CVE-2008-5353.C

> Kaspersky   7.0.0.125    2010.01.24  Trojan-Downloader.Java.OpenStream.af
> F-Secure    9.0.15370.0   2010.01.24  Exploit:Java/OpenStream.B
> Avast     4.8.1351.0   2010.01.23  -
> AVG      9.0.0.730    2010.01.23  -

 この日でみると,Avast!とAVGは未対応。
 それと,Microsoft?はて?ワクチンなんて,あったか?
 あ~ん,岬ちゃんかぁ(苦笑

 トレンドのWebサイトにあった説明↓
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JAVA%5FBYTEVER%2EAT&VSect=P
 マカフィーは日本のWebサイトに情報がなかったので,米国Webサイトの↓
http://vil.nai.com/vil/content/v_252846.htm
 どちらも1月上旬の定義ファイルで対応だった模様。NOD32もほぼ同じ頃の対応なので許せる範囲か?当方が拾ったと思われるのは,2009.12.24なので,どのワクチンでもダメだったわけだ(苦笑

 VirusTotalの解析でウイルスは検出されましたが,一くくりになってしまいました。NOD32では2つ見つかったいたので,そこを知りたくて,F-Secureのウイルス解析サービスに依頼してみました。
 F-Secureが解析してくれたアーカイブ構成↓
 jar_cache***9599350546174844.tmp
   |
   +--META-INF/MANIFEST.MF
      |
      +--myf/y/AppletX.class (Exploit:Java/OpenStream.B)
      +--myf/y/LoaderX.class (Trojan-Downloader:Java/OpenStream.B)
      +--myf/y/PayloadX.class(NO DETECTION)


 NOD32のログ,トレンドの説明,F-Secureの解析の3者で,指摘するアプレットが,チョットずつ違っています。
 それ自体が大きな問題ではないので,それは誤差ということにしましょう。

 状況は,だいたいわかってきたので,次は原因と対策。
 どうして,こんなものを拾ってしまったのか?
 このパソコンでは,そんなに変なところには行っていないのだが?

 トレンドの説明で気になったのが,これ↓
> 註:以下のセキュリティホールの修正をお勧めします。
> * Microsoft VM の問題により、システムが侵害される (816093) (MS03-011)

 リンク先は,ここ↓
・Microsoft VM の問題により、システムが侵害される (816093) (MS03-011)
http://www.microsoft.com/japan/technet/security/Bulletin/MS03-011.mspx
> 2003/4/10 : このセキュリティ情報ページを公開しました
 随分,前の話じゃない。いくらなんでも,こんな古いのが原因になるか?
 けど,Javaだとすれば,Sun Microsystems製Java(厳密にはJRE,Java Runtime Environment:Java実行環境)は,アップデートをウォッチしているので,インターバルは別としても,最新版は維持出来ているハズなのだが...

 トレンドやマカフィーのウイルス名でググっていて,見つけたもの↓

・VE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
http://d.hatena.ne.jp/kaito834/20100109/1263005567
> ユーザの操作が必要になるとはいえ、脆弱な JRE を指定して Exploit コードが
> 実行される可能性は十分にあることが分かりました。特定の JRE が必要ないので
> あれば、古いバージョンの JRE はアンインストールした方がよいですね。

 あっひゃーー,そういうことなの!?
 Javaって,最新版にアップデートしても,古いのが残っているので,バージョン狙い打ちで古いのを実行させることが出来るわけ。悪いことに使ってやろうという気持ちで,そういうプログラムを書けば,悪いことに使えるわけですな。
 だから,こちらの方↑のレポートでは,古いのはアンインストールが望ましいと。
 これじゃ,最新版にするだけじゃ,本来目的は達していないわ(驚

 当方がトロイの木馬を拾ったのは,ここを突かれた可能性が高いと思われます。
 だって,これ以外に,心当たりがないもの。

 そういえば,アタシのパソコンって,歴代Javaが,ずらずらと表示されたことがあったような気が。
 その時は「なんか,Javaって,みんな残っているんだなぁ」ぐらいにしか思いませんでしたけど,そういうことなのか?
 けど,なんだっけ...
 ここ↓でした。

 これ↑は,この前の定例外Windows Updateの時に,あわせて行ったJavaのアップデートの時の模様。たくさん並んでいたのでキャプチャーしていたの。
 コントロールパネルのJavaアプレットが認識しているバージョン↓


 古いのが残っていて,よろしくないのはわかったが,アンインストールとは,実際,どういう作業をすればいいんじゃ?
 もしや?と思い見てみたのが↓

 なんのことはない,ここで削除すればいいわけ。

 この話は,ここで一旦止めます。
 トレンドやマカフィーのウイルス名で,さらにググっていて,ぶつかったのが,これ↓

・いわゆるGENO系ウイルス感染してみた
http://www.smilebanana.com/archives/2010/01/06-2032.php
> 検出されたウイルスは3種類
> Trojan:Java/Selace.K
> Exploit:Java/CVE-2008-5353.C
> Trojan:Java/Selace.l

 検出したのは,岬ちゃん。岬ちゃんも使えるなぁ。ホント?(笑
 ところで,このblog記事↑の主題は,Gumblarなのであります。
 貼ってある「Exploit:Java/CVE-2008-5353.C」のキャプチャーは,アタシのログにほぼ同じ。

 ハッ?
 なして,Gumblar?
 Gumblarって,Javaの,この問題も使うの?
 Acrobatか,Flashじゃないの?
 さらに,ググっていくと...

・クライアントアプリケーションの脆弱性を狙う攻撃ツール JustExploit
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333933
> これは、Gumblar 関連の攻撃を行っていた攻撃者が、JustExploit を攻撃に利用する
> ようになったか、新たに別の攻撃者に改ざんさせられたことが考えられます

 これ↑とこれ↓
・相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
> 8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、
> JRE(Java Runtime Environment:Java実行環境)の脆弱性が使われている

 状況的には,これで決まり。

 ここで作業は,Gumblar.8080対策に切り替え(苦笑
 そっちの作業は主題から,かなり外れるので詳しくは記しませんが,結果は,シロ。
 どうやら,Gumblar.8080スレスレのところをカスっただけで済んだ模様です。よかった(笑

 検体を持っているので,自分で追試をやってみる手もありますが,そんな度胸は,アタシにはありましぇん(笑

 今回の対処は,当該ファイルを手作業で削除する。
 古いJREをアンインストールする。(最新版は残しておく)
 として,OSからのクリーンな再インストールは,ひとまず見合わせ。

 当面の間は,システムの様子を監視する。
 自分のWebサイトに改ざんが生じないか監視する。(FTPパスワードは,あえて変えない。いいのか!>自分)
 ワクチンの定義ファイルの更新が追い付いていない可能性があるで,寝る前にフルスキャンをスタートさせてから寝る。
 そんなところですかね。

 順序立てた話は,ここまで。
 これより,毎度おなじみの当方の感想や調べる過程で目にしたもののご紹介。
 を,したかったのですが,感想文を含めるとシステム上の1記事の文字数上限に達してしまいます(笑
 仕方ないので,その2へつづく↓
http://rainbow55.exblog.jp/12724227/

(関連リンク)
・トロイの木馬を拾いましたぁ その1(2010.1.25)
http://rainbow55.exblog.jp/12724074/
・トロイの木馬を拾いましたぁ その2(2010.1.25)
http://rainbow55.exblog.jp/12724227/
・トロイの木馬を拾いましたぁ 作業後記(2010.1.27)
http://rainbow55.exblog.jp/12734838/
・エマーで使った(使えた)リンク(2010.1.29)
http://rainbow55.exblog.jp/12745357/
・トロイの木馬を拾いましたぁ アフターフォローアップ(2010.1.30)
http://rainbow55.exblog.jp/12749411/
by rainbow-5 | 2010-01-25 22:55 | 日記 | Trackback | Comments(0)
トラックバックURL : http://rainbow55.exblog.jp/tb/12724074
トラックバックする(会員専用) [ヘルプ]


<< トロイの木馬を拾いましたぁ その2 メッセ周辺駐車場 >>