なんか,今月はパソコンblogとなっていますけど,今回もパソコン(苦笑
トロイの木馬(コンピュータウイルスのようなもの)を拾ったので,その記録。 なお,話は途中からGumblarに飛びますの(笑 先に書いておくとGumblarには感染していません。トロイの木馬にも感染はしませんでした。(本件,詳細後述) ここのところGumblarのこともあるので,ワクチンソフトでディスクのフルスキャンをやってみたんです。 ちゅーても,ちょっと前に書いたとおりで,先日ディスクエラー検出した際(処理日は1.10頃)にも,念のためディスクのフルスキャンは,やっているんですけどね。 おもむろにやってみたのは,ワクチンソフトを導入していても,定義ファイルの更新タイミングによっては,リアルタイム検出が出来ない事があって,変なものを貰ってしまうことがあるから。 今現在,当方が使用しているワクチンは,ESET NOD32 Antivirus 4(スロバキア製。以下,NOD32)という製品。 スキャンの結果,トロイの木馬を検出しました。ログの一部抜粋↓(一部伏字等あり) ---ここから--- 検査ログ ウイルス定義データベースのバージョン: 4800 (20100123) 日付: 2010/01/24 時刻: **:20:51 検査したディスク、フォルダ、ファイル: C:\ブートセクタ;C:\ C:\Documents and Settings\user.name\Local Settings\Temp\jar_cache***9599350546174844.tmp > ZIP > myf/y/LoaderX.class - Java/TrojanDownloader.Agent.NACの亜種 トロイの木馬 C:\Documents and Settings\user.name\Local Settings\Temp\jar_cache***9599350546174844.tmp > ZIP > myf/y/PayloadX.class - Java/TrojanDownloader.Agent.NADの亜種 トロイの木馬 ---ここまで--- 当該ファイル(jar_cache***9599350546174844.tmp)のタイムスタンプは,2009.12.24で,サイズは約5kBです。 jar_cacheなにがし,というファイルはJavaが作るファイルのこと。Zipと表示されているので,jar_cacheがアーカイブされていて,その中にトロイの木馬が入っている状態です。 Java/TrojanDownloader.Agent.NACとは,なんぞや? NOD32の国内代理店のWebサイトを見ても,ウイルスの一覧らしきものはなく,正体はわからず。わかったのは,2010.1.12の定義ファイルより今回検出した「Java/TrojanDownloader.Agent.NAC」と「Java/TrojanDownloader.Agent.NAD」に対応したということ。 ということは,jar_cacheなにがしのタイムスタンプが2009.12.24なので,リアルタイム検出は,すり抜けてしまったのだろうと推察。 別件となるディスクエラー検出時に行ったフルスキャンの後に,定義ファイルに加わったので,前回のフルスキャンでも,検出しなかったと思われます。 トレンドマイクロなどの国内3大ワクチンソフトのWebサイトには,ウイルス辞典なるものがあって調べることが出来るわけですが,(同一ウイルスであったとしても)ウイルスの名前が各社各様なので,NOD32が検出した名前では,他社のウイルス辞典には載っていないので,調べようがありません。 たしか,検体を調べてくれるサービスがあったような... そういう記憶があったので,探してきたのが,これ↓ ・「このファイル怪しい」と感じたら,まずスキャン--VirusTotal http://itpro.nikkeibp.co.jp/article/COLUMN/20070706/276936/ これ↑で調べた結果↓ ・ファイル名 JavaGame.jar.VIRUS http://www.virustotal.com/jp/analisis/d4f5bcc9acecb2f53a78313fc073563de9fc4f7045dd8123a23a08f926a3974d-1264305579 > NOD32 4800 2010.01.23 a variant of Java/TrojanDownloader.Agent.NAC > TrendMicro 9.120.0.1004 2010.01.24 JAVA_BYTEVER.AT > McAfee 5870 2010.01.23 Exploit-CVE2008-5353 > Symantec 20091.2.0.41 2010.01.24 Downloader > Microsoft 1.5405 2010.01.24 Exploit:Java/CVE-2008-5353.C > Kaspersky 7.0.0.125 2010.01.24 Trojan-Downloader.Java.OpenStream.af > F-Secure 9.0.15370.0 2010.01.24 Exploit:Java/OpenStream.B > Avast 4.8.1351.0 2010.01.23 - > AVG 9.0.0.730 2010.01.23 - この日でみると,Avast!とAVGは未対応。 それと,Microsoft?はて?ワクチンなんて,あったか? あ~ん,岬ちゃんかぁ(苦笑 トレンドのWebサイトにあった説明↓ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JAVA%5FBYTEVER%2EAT&VSect=P マカフィーは日本のWebサイトに情報がなかったので,米国Webサイトの↓ http://vil.nai.com/vil/content/v_252846.htm どちらも1月上旬の定義ファイルで対応だった模様。NOD32もほぼ同じ頃の対応なので許せる範囲か?当方が拾ったと思われるのは,2009.12.24なので,どのワクチンでもダメだったわけだ(苦笑 VirusTotalの解析でウイルスは検出されましたが,一くくりになってしまいました。NOD32では2つ見つかったいたので,そこを知りたくて,F-Secureのウイルス解析サービスに依頼してみました。 F-Secureが解析してくれたアーカイブ構成↓ jar_cache***9599350546174844.tmp | +--META-INF/MANIFEST.MF | +--myf/y/AppletX.class (Exploit:Java/OpenStream.B) +--myf/y/LoaderX.class (Trojan-Downloader:Java/OpenStream.B) +--myf/y/PayloadX.class(NO DETECTION) NOD32のログ,トレンドの説明,F-Secureの解析の3者で,指摘するアプレットが,チョットずつ違っています。 それ自体が大きな問題ではないので,それは誤差ということにしましょう。 状況は,だいたいわかってきたので,次は原因と対策。 どうして,こんなものを拾ってしまったのか? このパソコンでは,そんなに変なところには行っていないのだが? トレンドの説明で気になったのが,これ↓ > 註:以下のセキュリティホールの修正をお勧めします。 > * Microsoft VM の問題により、システムが侵害される (816093) (MS03-011) リンク先は,ここ↓ ・Microsoft VM の問題により、システムが侵害される (816093) (MS03-011) http://www.microsoft.com/japan/technet/security/Bulletin/MS03-011.mspx > 2003/4/10 : このセキュリティ情報ページを公開しました 随分,前の話じゃない。いくらなんでも,こんな古いのが原因になるか? けど,Javaだとすれば,Sun Microsystems製Java(厳密にはJRE,Java Runtime Environment:Java実行環境)は,アップデートをウォッチしているので,インターバルは別としても,最新版は維持出来ているハズなのだが... トレンドやマカフィーのウイルス名でググっていて,見つけたもの↓ ・VE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する http://d.hatena.ne.jp/kaito834/20100109/1263005567 > ユーザの操作が必要になるとはいえ、脆弱な JRE を指定して Exploit コードが > 実行される可能性は十分にあることが分かりました。特定の JRE が必要ないので > あれば、古いバージョンの JRE はアンインストールした方がよいですね。 あっひゃーー,そういうことなの!? Javaって,最新版にアップデートしても,古いのが残っているので,バージョン狙い打ちで古いのを実行させることが出来るわけ。悪いことに使ってやろうという気持ちで,そういうプログラムを書けば,悪いことに使えるわけですな。 だから,こちらの方↑のレポートでは,古いのはアンインストールが望ましいと。 これじゃ,最新版にするだけじゃ,本来目的は達していないわ(驚 当方がトロイの木馬を拾ったのは,ここを突かれた可能性が高いと思われます。 だって,これ以外に,心当たりがないもの。 そういえば,アタシのパソコンって,歴代Javaが,ずらずらと表示されたことがあったような気が。 その時は「なんか,Javaって,みんな残っているんだなぁ」ぐらいにしか思いませんでしたけど,そういうことなのか? けど,なんだっけ... ここ↓でした。 これ↑は,この前の定例外Windows Updateの時に,あわせて行ったJavaのアップデートの時の模様。たくさん並んでいたのでキャプチャーしていたの。 コントロールパネルのJavaアプレットが認識しているバージョン↓ 古いのが残っていて,よろしくないのはわかったが,アンインストールとは,実際,どういう作業をすればいいんじゃ? もしや?と思い見てみたのが↓ なんのことはない,ここで削除すればいいわけ。 この話は,ここで一旦止めます。 トレンドやマカフィーのウイルス名で,さらにググっていて,ぶつかったのが,これ↓ ・いわゆるGENO系ウイルス感染してみた http://www.smilebanana.com/archives/2010/01/06-2032.php > 検出されたウイルスは3種類 > Trojan:Java/Selace.K > Exploit:Java/CVE-2008-5353.C > Trojan:Java/Selace.l 検出したのは,岬ちゃん。岬ちゃんも使えるなぁ。ホント?(笑 ところで,このblog記事↑の主題は,Gumblarなのであります。 貼ってある「Exploit:Java/CVE-2008-5353.C」のキャプチャーは,アタシのログにほぼ同じ。 ハッ? なして,Gumblar? Gumblarって,Javaの,この問題も使うの? Acrobatか,Flashじゃないの? さらに,ググっていくと... ・クライアントアプリケーションの脆弱性を狙う攻撃ツール JustExploit http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333933 > これは、Gumblar 関連の攻撃を行っていた攻撃者が、JustExploit を攻撃に利用する > ようになったか、新たに別の攻撃者に改ざんさせられたことが考えられます これ↑とこれ↓ ・相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115 > 8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、 > JRE(Java Runtime Environment:Java実行環境)の脆弱性が使われている 状況的には,これで決まり。 ここで作業は,Gumblar.8080対策に切り替え(苦笑 そっちの作業は主題から,かなり外れるので詳しくは記しませんが,結果は,シロ。 どうやら,Gumblar.8080スレスレのところをカスっただけで済んだ模様です。よかった(笑 検体を持っているので,自分で追試をやってみる手もありますが,そんな度胸は,アタシにはありましぇん(笑 今回の対処は,当該ファイルを手作業で削除する。 古いJREをアンインストールする。(最新版は残しておく) として,OSからのクリーンな再インストールは,ひとまず見合わせ。 当面の間は,システムの様子を監視する。 自分のWebサイトに改ざんが生じないか監視する。(FTPパスワードは,あえて変えない。いいのか!>自分) ワクチンの定義ファイルの更新が追い付いていない可能性があるで,寝る前にフルスキャンをスタートさせてから寝る。 そんなところですかね。 順序立てた話は,ここまで。 これより,毎度おなじみの当方の感想や調べる過程で目にしたもののご紹介。 を,したかったのですが,感想文を含めるとシステム上の1記事の文字数上限に達してしまいます(笑 仕方ないので,その2へつづく↓ http://rainbow55.exblog.jp/12724227/ (関連リンク) ・トロイの木馬を拾いましたぁ その1(2010.1.25) http://rainbow55.exblog.jp/12724074/ ・トロイの木馬を拾いましたぁ その2(2010.1.25) http://rainbow55.exblog.jp/12724227/ ・トロイの木馬を拾いましたぁ 作業後記(2010.1.27) http://rainbow55.exblog.jp/12734838/ ・エマーで使った(使えた)リンク(2010.1.29) http://rainbow55.exblog.jp/12745357/ ・トロイの木馬を拾いましたぁ アフターフォローアップ(2010.1.30) http://rainbow55.exblog.jp/12749411/
by rainbow-5
| 2010-01-25 22:55
| 日記
|
カテゴリ
記事ランキング
以前の記事
2019年 12月 2019年 11月 2019年 09月 2019年 02月 2018年 12月 2018年 11月 2018年 10月 2017年 11月 2017年 10月 2017年 09月 2017年 08月 2017年 07月 2017年 05月 2017年 04月 2017年 03月 2017年 02月 2017年 01月 2016年 12月 2016年 11月 2016年 10月 2016年 09月 2016年 08月 2016年 07月 2016年 06月 2016年 05月 2016年 04月 2016年 03月 2016年 02月 2016年 01月 2015年 12月 2015年 11月 2015年 10月 2015年 09月 2015年 08月 2015年 07月 2015年 06月 2015年 05月 2015年 04月 2015年 03月 2015年 02月 2015年 01月 2014年 12月 2014年 11月 2014年 10月 2014年 09月 2014年 08月 2014年 07月 2014年 05月 2014年 04月 2014年 03月 2014年 02月 2014年 01月 2013年 12月 2013年 11月 2013年 10月 2013年 09月 2013年 08月 2013年 07月 2013年 05月 2013年 04月 2013年 03月 2013年 02月 2013年 01月 2012年 12月 2012年 11月 2012年 10月 2012年 09月 2012年 08月 2012年 07月 2012年 06月 2012年 05月 2012年 04月 2012年 03月 2012年 02月 2012年 01月 2011年 12月 2011年 11月 2011年 10月 2011年 09月 2011年 08月 2011年 07月 2011年 06月 2011年 05月 2011年 04月 2011年 03月 2011年 02月 2011年 01月 2010年 12月 2010年 11月 2010年 10月 2010年 09月 2010年 08月 2010年 07月 2010年 06月 2010年 05月 2010年 04月 2010年 03月 2010年 02月 2010年 01月 2009年 12月 2009年 11月 2009年 10月 2009年 09月 2009年 08月 2009年 07月 2009年 06月 2009年 05月 2009年 04月 2009年 03月 2009年 02月 2009年 01月 2008年 12月 2008年 11月 2008年 10月 2008年 09月 2008年 08月 2008年 07月 2008年 06月 2008年 05月 2008年 04月 2008年 03月 2008年 02月 2007年 10月 ブログパーツ
その他のジャンル
ブログジャンル
画像一覧
|
ファン申請 |
||