トロイの木馬を拾いましたぁ その2
f0158244_0475166.jpg こっちは,その1のつづきです。
 その1は,これ↓
http://rainbow55.exblog.jp/12724074/

 今回も,思いつくままの順不同です。



●これは感染なのか?
 元 社内情報システム部員の経験で申しますと,これは感染と言えないような気がしまスー
 問題のあるコードをサーバ→クライントへ転送し,クライアント側のディスク装置に格納したことをもって「感染」というならば,まぁ,感染でしょうな。
 細か~いハナシとなれば,(狭い意味での)感染はしたが,活動はしなかった(出来なかった)。(広い意味での)感染に,活動を含むなら,感染はしてないですわ。
 そういう点で,当方には,これは感染には受け取れないです。
 ちなみに,レンタルサーバーを借りており,ファイル転送はFTPを使っていますが,そちらへの改ざんも認められませんでした(このサーバーは一般公開していません。クローズな運用です。念のため)。Windowsのスタートアップ(msconfig含)にも新しいものは入っていませんし,レジストリのRunキーにも不自然なものは見当たりませんでした。もち,Security Toolsさんとも対話していません。

 これをGumblar.8080システムの一部と見るならば,システムの最後の動作まで至ってないですわ。
 ただ,Gumblar.8080システムでは,改ざんサイト→悪意のあるサイトへの誘導があるわけですが,悪意のあるサイトへ誘導されて,そこから変なものをダウンロードすることをもって「感染」と呼ぶなら「感染」だったと思います。
 ほんと,Gumblar.8080システムは,ウイルスとしては,複雑なシステム構成なので,やっかいやの~。

 また,運用ベースでみると,Firefoxで閲覧した可能性が高く,FirefoxがJavaアプリケーションを起動しただけじゃないですかね。起動はしたけど,Webブラウザが期待していたIEじゃなくて,悪いことが出来なったのではないかと?
 Webブラウジングの延長線上の動作があっただけで,これを感染と呼んでしまうと,Firefoxでも感染することになってしまいます。Gumblar.8080システムは,IEを含んだ状態をさしていると理解していますので,このプロセスを感染と呼ぶのは苦しいと感じます。

●Java最新版へのアップデート
・サイト改ざん(1)「告知せず」で感染拡大の恐れ~負の連鎖を断ち切るために
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2112
> (4) JRE(Java Runtime Environment)を最新版に更新する
 ウイルス対策として,どこにでも書いている決まり文句なのですが,これだけじゃ,ダメ。
 「JREを最新版に更新し,旧版は[アプリケーションの追加と削除]で削除する」が望ましい。

・ホームページからの感染を防ぐために
https://www.ccc.go.jp/detail/web/index.html
> ▼旧バージョンのアンインストール
> JREは、旧バージョンが削除されずにパソコン内に残ります。企業などで特定の
> バージョンのJREを必要とする場合はありますが、それ以外の場合では旧バージョンを
> アンインストールすることをお薦めします。

 あらまぁ,ちゃんと書いているところがあったわ。
 リンクをたどってみると,運営は,サイバークリーンセンター。総務省・経産省の合同プロジェクトでボット対策が主目的のようです。ボット対策に限れば,JPCERT/CCやIPAの上位組織になるみたいですな。分野限定とはいえ,IPAより上がいるなんて初めて知った。
 書いてあることも,なかなかのもの(苦笑

> 俗に"Gumblar(ガンブラー)ウイルス"呼ばれる手法
 この一文は,なかなか言葉を選んでいるねぇ。
 「俗称Gumblar」。確かに,俗称と言うなら,テクニカルタームとしての元祖Gumblar,Gumblar.x,Gumblar.8080を包含出来るわね(苦笑
 「呼ばれる手法」。これもまた,その通り。ウイルス名称としてのGumblarなにがしというのはいない。ワクチンが検出するウイルス名は別にある。一連の処理の流れがGumblarなわけで,いわばGumblarシステムと呼べるようなもの。よって「手法」というのは適切な表現ですな。

> 以下の3つの対策お願いしております。
> 1.Windows Updateを行う
> 2.ウイルス対策ソフトを入れる
> 3.ブロードバンドルータを入れる

 1と2は理解の範囲内。
 「3.ブロードバンドルータを入れる」ですって。
 このページは,一般家庭のふつーのユーザー向けと思われるのですが,ルータを「お願い」していますわ。技術的には,これで正しいのですが,ちょっと敷居が高いのでは?
 現実に即した具体的な作業内容もはっきりと書いています↓

・ブロードバンドルータ機能の有無確認と手配方法
https://www.ccc.go.jp/detail/router/
 ふつーの人にipconfigを使わせるもの難ですが(苦笑
> <参考>購入する場合のブロードバンドルータの価格:安い物であれば、4000円弱
 実際の費用を明記。
> NTT東日本・西日本の 回線をお使いの方
> ADSLの方 局番無しの0120-116116に電話し
> ルータ機能付のモデムに変更してください

 でた。NVIIIだ(笑
 ちなみに,ADSLモデルを東西NTTのレンタル品にしている場合は,機械の交換自体は無料です。レンタル代は別として,無料でルータを入手出来るのですから,使ってやってね。
 って,言うか(東西NTT)ADSLだったら,今では,ほとんどが既にNVIIIになっていると思いますよ。NVIIIをただのモデムで動作させていて,ルータ機能を使っていない人は大勢いると思いますわ。機械に機能はあるので,使ってやってね。(と,ここが一番の問題か?)

 それにしても,役所の案内にしては,ずいぶんと踏み込んでいますな。(それはそれで,けっこうな事だと思います)
 プレインストールPCを使うだけのユーザー層を意識しているんだと思います。世の中に,これだけ普及してしまったわけで,これは,これで必要なことだと思うのです。ページのデザインでは,新しいウィンドウとして開いた場合は,ページの上下に[閉じる]ボタンまで用意している程。

 ルータまで話が脱線したので,さらに脱線(笑
 Gumblar.Xの頃から,すっかり気に入ってしまったSo-net セキュリティ通信。約半年分ぐらいのバックナンバーを読んでみました。そしたら,こんなのが↓
・わかりますか? この言葉~「プラグインの更新なんて無理!」という方に
http://www.so-net.ne.jp/security/news/newstopics_200910.html
> インストールがわかるのに、アンインストールがわからないのか、とちょっと意外だった
> のですが、考えてみると、メールの送受信とホームページの閲覧をするだけなら、
> アンインストールが要求される場面はごく少ないでしょう

 こんな感じですよ。一般のふつーのユーザーって。
 インストールだって,どうかなぁ?
 プレインストールPCを買ってきて,そのまま使っているユーザー層にとって,インストール作業だって,今現在,ちゃんと動いているのだから,変えたくない。だから,インストールなんてしない。考えない。現状に大きな不満はないのだから,そっとしておいて欲しい。
 パソコンには,ソフトが入れることが出来て,いろんなことが出来ることは,わかっているのですが,それによって,今のが変になったらイヤだ。
 そういうことなんですわ。
 そこから転じると,JREを最新版にしたら,旧版をアンインストールする。そんなの無理ぽ。

 JREをアップデートしても旧版が残っていて,さらに旧版を使うことが出来るようになっている一番の理由は,互換性の配慮だと推察します。(他に大きな理由があるのか?)
 けど,こういう事態になってしまった以上,互換性の維持より,安全性の配慮の方がもっと大事でしょう。Sun Microsystemsは,JREのアップデートをしたら,自動で旧版を削除すべきだと考えます。
 世の中にこれだけパソコンが普及してしまった以上,アンインストールが出来ない多くのユーザー層がいることを知って欲しいものです。

 (2010.1.27 本項を訂正。Java 6 Update 10(2008/10/22)の頃から旧版を削除するように仕様変更がされているが判明)

●Microsoft版Javaのアンインストール
 Sun MicrosystemsのJavaは,上に書いたとおりなのでいいとしても,その昔あったMicrosoft版Javaをまだ持っている場合は,どうするの?
 こうすれば↓いいみたい
・Microsoft Java VMを手動で削除する方法
http://www.atmarkit.co.jp/fwin2k/win2ktips/568delmsjvm/delmsjvm.html
 ここ↑のリンクにあったのは,これ↓
・Microsoft VM 診断ツール 1.0a
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e38f4f9-ce7e-4271-8836-a7d7293a992f&displaylang=ja
> 概要
> Microsoft VM 診断ツールを使用して、1 台以上のコンピュータをスキャンし、
> MSJVM および MSJVM 関連ソフトウェアがあるかどうかを検出できます

 入手して,やってみました。
 ダウンロードファイルは,ソフトのインストーラです。よってインストール作業が必要です。(た~だ,システムをスキャンするだけの割には大袈裟?)
 関係しそうなファイル(.exe,.dll,.htmlなどなど)をぜ~んぶスキャンするので,時間がかかる,かかる。当方の場合,約1時間。
 結果のレポートは,HTMLファイルに出力されて残りました。こんなの↓(一部伏字等あり)
f0158244_2347287.jpg
 最初のWindowsがWin XP SP1までの場合は,Microsoft VMが残っているかもね。
 実際問題として,Microsoft版Javaが残っていても,Sun版に移行しているので,今となれば少数派。トレンドは,この問題を取り除け,と言っていますが,この弱点を狙ってくる可能性は,低いように感じますけどね。どうなんだろう?

●2009.12.24に何が起きたのか?どこで,もらって来たのか?
 IBMがレポートを公表したのは,2009.12.2。
 当方が,トロイの木馬をもらったのは,2009.12.24。
 NOD32などのワクチンが対応したのが,翌月となる1月上旬。

 そういえば,少し前にWebで,あまり見ないダイアログが表示されて,勢いで応答したことがありましたっけ。
 思い起こせば,あれが,Javaのアラートだったのか?
 「以前のJavaが必要です?」そういう文言だったのか?憶えていない。
 また,当方のが,JREの旧バージョンを本当に狙い打ちしていたのか?その真偽は不明。
 旧版で動作させようとしたのではなくて,単に最新版が入っていないのを狙っただけかも?

 当方の場合,IEは,ほとんど使っていないので,事が起きた時も,Firefoxを使っていたのか?もしかしたら,IEを使っていたかも?
 Firefoxであったとしても,トロイの木馬が入っているデータは,一旦は引き込んでしまうもの。ブラウザがIEでなかったので処理が中途半端になってしまったとか?この辺りは,いろいろ考えられるが,今となっては追求は不可能。(ブラウザ・Acrobat・JRE・Javaが表示したアラートに対する応答・その時の使われたコードの内容。これらの組合せで,結果的に処理が中途半端に終わっただけ。組合せ次第では,感染→活動に至ってたかも?)

 それでは,どこで貰ってきたの?
・新たに20件のサイト改ざんが明らかに~新規改ざんサイト一覧
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2129
> 改ざんを告知せずにこっそり該当部分を修正し、何事もなかったかのように
> 再開している悪質ともいえるサイトもたくさんある
 これは,名の知れた会社や公共性のある団体等であっても,十分あり得る。
・東京芸術劇場チケットサイト改ざん、運営のホリプロ事実公表せず
http://internet.watch.impress.co.jp/docs/news/20100122_344177.html
 論評をさけて,報道に徹している。
・「東京芸術劇場チケット」サイトが「3度」改ざん~繰り返し事例に学ぶ教訓
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2128
> こうした公表は感染二次被害を食い止めるための基本だ。3回目の改ざん被害で、
> しかも通報されてそれと気づいてから、やっと改ざん被害を公表するというのは
> 後手に回っている

 正論だわな。

 こんな調子なんだから,こっそり直して知らん顔を決め込んでいるところがあるんだろうな。そういうところへ行ってしまって,貰ってきた可能性はけっこうあると思います。
 なにが言いたいかというと,ワクチンだけでもダメ。関連ソフトを最新版にするだけでもダメ。怪しくない,一見どうみてもマトモなWebサイトに行ってもダメ(なこともある)。(要件をちゃんと整理していませんが)旧版JREのルートで感染するならばFirefoxやSafariでもダメだと思われます(なんでもかんでも,OK,OK,実行,実行の人)。
 (専門用語で自分が理解できない)変なのが出てきてビックリだったら,みんなペケー(×)な人は,セーフだったかも(苦笑

●(クライアントPCにおける)JREの必要性への疑問
 話をJREに限れば,これって本当に必要なの?
 って,見方はあるわね。
 サーバサイドは別として,クライアント側でJavaを使っているのって,どれほどあるのか?
 最初,この世に登場した頃は,ずいぶんチヤホヤされたJavaだけど,今現在となってみれば,それほどでもないと思ったりもして。

 それでも,Webブラウザの中で動くJavaアプレットは,ブラウザの中の話なのでまだいいです。JREを必要とするJavaアプリケーションなんて,ほとんどないでしょうに。
(トレンドの説明によれば,今回検出したものはJavaアプレットとして動作するとある)
 それなら,JREそのものをインストールしているから,こういう事になるわけで,消してしまえば,最初から入っていなければ,こういう事にはならない。

 Webコンテンツの現状を見渡せば,AcrobatとFlashは必須だと思うので,これらは利便性とセキュリティリスクを図る必要がある思うけど,JREにはリスクを背負うまでの必要性があるとは思えないよね。外観のデザインやレイアウトを整えるに,Flashを使うか?Javaアプレットを使うか?となれば,ほとんどはFlashでしょう。この際,一旦,JREを含むJavaを削除して,様子をみようかなぁぁ...と思ったりもして。
 けどさー,IPAの「MyJVNバージョンチェッカー」って,JREを使っているんだよね(笑

 あと,Java ScriptとJava(Java Runtime Environmentを含む)は,まったくの別物。
 JRE関連のオマケ↓
・Mac OS X最新版、深刻な脆弱性のある古いJREを搭載~脆弱性突くコード公開
http://www.so-net.ne.jp/security/news/library/1894.html
 Macにだって,穴はある,ってことね。
 記事には書いてないが,氏が指摘したJREの脆弱性は一般に「CVE-2008-5353」と呼ばれるもので,今回当方が遭遇したもの。
 Windows用Gumblar.8080をちょっと改造すれば,似たようなものは,Mac用でも作れるような気もして。

●その他
・電子立国の総本山、JEITAがガンブラー被害
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100121-OYT8T00741.htm
> 古いバージョンのソフトのままのパソコンを実験用に準備し、グーグルのキャッシュに
> 残るJEITAのトップページを表示してみた

 さすが,JEITA。生検体の提供もしてくれるのか(笑
> 最初に、インターネットエクスプローラーがスクリプトを実行するかどうかの問い合わせ表示を出すが
 問合せ表示の内容まで記事に書いてないので,ハッキリしないが,これって,もしかして,JREのアラートじゃないの?

・So-net セキュリティ通信のライター陣
 バックナンバーの中に署名記事があって,どうやら,こちら↓の方みたい
http://www.gendai-forum.jp/
 内容的にSo-netの自社運営とは思えませんでしたけどね。
 バックボーンがわかって,これでスッキリした。
 断っておきますが外部委託が悪いと申しているわけではありません。So-netの看板の下で公表されているわけですから,ものはSo-netの記事であることに変わりはありません。So-netには,この調子で今後も続けることをお願いしておきたいと思います。

・サイバークリーンセンターの案内
 上で褒めたサイバークリーンセンターの案内のですが,感心しない箇所もあります。
・ホームページからの感染を防ぐために
https://www.ccc.go.jp/detail/web/index.html
 Adobe製品のバージョンアップ方法で
> 同時にインストール「無料のMcAfee Security Scan (オプション)」のチェックを外す
 とあります。部分拡大だと見えている印象が伝わらないので,AdobeWebサイトのページの全景スクリーンショット↓
f0158244_23112648.jpg
 McAfeeを抱合せでインストールさせようとするのを防止させるために「チェックを外す」となっているわけですな。というのは,既にワクチン類を導入済みの場合,2本目のワクチン類をインストールしてしまうと競合が発生して,さらに面倒なことになるからでしょう。
 一次的には,こんなことをやっているAdobe・McAfeeがよくないと考えます。これだけAcrobat/Flashで世間に手間をかけさせているのに,競合なんて起こされた日には,手間は増える一方(笑
 サイバークリーンセンターの案内も「ワクチン導入済みの場合は(競合が起きるので)チェックを外す」のような説明をしてもいいのでは?
 サイバークリーンセンターも会議をやって,こういう文言になったのは,容易に想像が出来ます。ふつーのユーザーにわからせるのは,難儀やのぉ~

・(お詫び)ホームページの再開について
http://www.jreast.co.jp/apology/20091223_restart.html
 JR東日本って,JR EASTなんだ。
 日本IBMがJREの脆弱性(CVE-2008-5353)を公表したのが,2009.12.2ですから,JR東日本のこれ↑でも,JREが使わた可能性は高いと思います。
 JREを使ってJR Eastを攻撃!
 え,オヤジ臭い?笑

 2010.1.27 一部訂正

(関連リンク)
・トロイの木馬を拾いましたぁ その1(2010.1.25)
http://rainbow55.exblog.jp/12724074/
・トロイの木馬を拾いましたぁ その2(2010.1.25)
http://rainbow55.exblog.jp/12724227/
・トロイの木馬を拾いましたぁ 作業後記(2010.1.27)
http://rainbow55.exblog.jp/12734838/
・エマーで使った(使えた)リンク(2010.1.29)
http://rainbow55.exblog.jp/12745357/
・トロイの木馬を拾いましたぁ アフターフォローアップ(2010.1.30)
http://rainbow55.exblog.jp/12749411/
・ADSL接続障害(NVIIIのお話 2009.8.16)
http://rainbow55.exblog.jp/11746282/

p.s
先週までは高見の見物を決め込んでいたが,事はいきなり起きる。それも,自分のところに,その日にやって来たのではなく,1か月も前に来ていたとは。もし,感染して活動を許してしまっていたなら,1か月間もの間,なにもしないで,放ったらかしだったということね(苦笑
[PR]
by rainbow-5 | 2010-01-25 23:53 | 日記 | Comments(2)
Commented by xp at 2010-08-01 00:32 x
大変参考になりました。ありがとうございました。
Commented by busy at 2012-10-31 18:55 x
感染の検証がすごいです。参考になりました。
今頃ガンブラーの危険さにきづいたたちです

別のサイトで知ったのですが、内閣府でもセキュリティ対策のサイトを
持ってるようです。さらにそこのリンクには、警察庁、経済産業省とかもあります。
http://www.nisc.go.jp/

個人的には、MSのSecurityEssentialのデータベース情報があるMSMalwareProtectionCenterが最近知ったサイトで気になってます。
http://www.microsoft.com/security/portal/


<< トロイの木馬を拾いましたぁ 作業後記 トロイの木馬を拾いましたぁ >>