トロイの木馬を拾いましたぁ 作業後記
 実作業記録。
 その後に,見たものなど。



==従前からやっていたこと==
■ローカルルータの使用
 通信ポートを制限
■Web閲覧関連ソフトの最新版チェック
 IPAの「MyJVNバージョンチェッカー」を活用
■ワクチンの導入
 ESET NOD32 Antivirus (NOD32)
■主に使うWebブラウザの吟味
 Firefox
 なお,IEは7.0を使用
■DEP(データ実行防止機能)
 Win XPにて全アプリを対象化

==今回行った対処策等==
□Java Scriptへの対処
 RequestPolicy(Firefoxアドオン)を導入
□JRE
 古いJREをアンインストールした
□IE
 あまり使わないがIE7.0→IE8.0

○Win XP SP3
 リカバリーCDからのインストールに備えて,CDを作った

==考えたけど,やらなかったこと==
▽岬ちゃんを試す
 (検体がディスクに残っている状態で)NOD32を一旦削除して,岬ちゃんを導入しスキャンをさせてみる
▽レンタルサーバへのファイル転送
 FTP使用。クライアントソフトはFFFTP。
 サーバ側がFTPしか使えないので,このまま(SFTP等は使えない)。低価格なサーバなので仕方ないか。安いのには安い理由がある(苦笑
▽Win 7アップグレード
 様子見。アプリの対応が揃っていないから。


 以下,前回記事のあとに見たもの。

●古いJREのアンインストール(とその関連)
 今現在のJavaは,アップデートをすると,古いJREは残さずに削除する(もしくは,旧ファイルに新ファイルを上書きする)ようになったことが判明しました。
 よって,前回指摘した「アップデート時に古いものを残すな」という意見表明は取り下げる事にします。
 ただ,以前のアップデータは,古いJREを残していましたので,以前からJavaを使っているユーザーの場合は(当方のように)今でも古いJREが残っていると思います。

 それでは,この変更は,いつあったの?を調べようとしたのですが,Sun Microsystems等のドキュメントで見つける事が出来ませんでした。
 Sunのドキュメントも更新されていないらしく,以前の仕様のままになっています↓
・Java Runtime Environment Configuration
http://java.sun.com/javase/6/webnotes/install/jre/jre_install.html
> When a JRE is installed in the static mode, it will not be updated in place by
> newer versions. A later version of the same JRE family will be installed in a
> separate directory.

 インストールディレクトリは静的。新しいバージョンは別のディレクトリに格納する,と言い切っています。

 Sun自身も(以前は)古いのが残るので,いらなければ消してくれと明記しています↓
・JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
http://java.com/ja/download/faq/remove_olderversions.xml

 またアップデートの日付も探しましたが,見つける事が出来ませんでした。代用品↓
・「Java 6 Update 18」が公開、セキュリティ修正は含まれず(2010/1/14)
http://internet.watch.impress.co.jp/docs/news/20100114_342280.html
・「Java 6 Update 17」が公開、複数の脆弱性を修正(2009/11/5)
http://internet.watch.impress.co.jp/docs/news/20091105_326535.html
・「Java 6 Update 15」が公開、複数の脆弱性を修正 (2009/8/5)
http://internet.watch.impress.co.jp/docs/news/20090805_307166.html
・Javaの最新版アップデート公開、複数の脆弱性を修正(2009/03/26)
http://internet.watch.impress.co.jp/cda/news/2009/03/26/22917.html
> JRE 6.0 Update 13
・Sun、複数の脆弱性を修正したJava実行環境の最新版を公開(2008/12/08)
http://internet.watch.impress.co.jp/cda/news/2008/12/08/21789.html
> JDE/JRE 6 Update 11
・「Java SE 6 Update 10」公開、動作速度を高速化(2008/10/22)
http://internet.watch.impress.co.jp/cda/news/2008/10/22/21274.html
・Java最新版が公開、複数の脆弱性を修正(2008/07/14)
http://internet.watch.impress.co.jp/cda/news/2008/07/14/20246.html
> JDK/JRE 6 Update 7
・Javaの最新版アップデートが公開、脆弱性の修正を含む(2008/03/07)
http://internet.watch.impress.co.jp/cda/news/2008/03/07/18714.html
> Java SE 6 Update 5 リリースノート

 当方の場合,Javaを最後にアップデートしたのは,1.22の夜。この時は,Java 6 Update 17→Update 18でした。たまたまキャプチャーを取得したので間違いないです。
 現在,残っているJavaは,Update 18(=最新版),Update 7,Update 3。
 Update 18の前にUpdate 17があったのは間違いなので,Update 18が17を削除したと考えます。
 状況的に,Update 10, Update11, Update 13辺りで仕様が変更になったのでは?Internet Watchの記事によれば...
 Update 10 機能追加・変更のみ(脆弱性への対処はない)
 Update 11 脆弱性対策のみ
 Update 13 脆弱性対策のみ
 と,なっておりUpdate 10で「旧版の削除機能」に仕様変更した公算が大。

 Javaのインストールパスを見ると,命名規則が変更になっています。
f0158244_23571.jpg
 以前のはバージョン+アップデート。現在はバージョンナンバーだけ。
 なので,受け取り方としては,上書き(動作としては削除&新規)になったので,結果的に古いものは削除されるようになったのでしょう。

 というわけで,Update 10以前は残るので,Update 13つまりは2009.3.26頃より前にJavaをインストールしたPCには,今でも古いものが残っていると思われます。
 まだ1年にも満たないので,世の中にあるPCのほとんどに残ってるんじゃないですかね。
 さらには,メーカー製PCの場合,ソフトてんこ盛りのプレインストールをやっているので,自分でJavaをインストールしてなくても,プレインストールで勝手に入っているのが,ふつーと見るのが妥当だと思います。
 年末ぐらいから,Gumblar.8080の被害が拡大しているのは,ほぼ日本中のWindows PCすべてに残っていると思われる旧版JREを有効活用し始めたからじゃないですかね。
 これがすべてじゃないと思いますけど,大きなウエイトを占めているような気がしまスー

●FirefoxならGumblar.8080に感染しないのか?
 技術的な背景説明した上で,Firefoxでも感染すると書いたものを見つけ出すことは出来ませんでした。
 当方が調べた範囲内ではありますが,Gumblar.8080システムの動作原理から「Firefoxなら安全」と断言出来ないと思っています。というのは,OSやIEの弱点を使っていないからです。そうなると,IEもFirefoxも同じということに。
 当方のケースでも,状況的には,Firefoxでトロイの木馬を貰ったように思えますし。

 今回のGumblar.8080の場合,一般ユーザーの最初の一歩は,改ざんされたサーバのJava Scriptにより悪意のあるサーバーへ誘導されること。
 この誘導を遮断してしまえば,トロイの木馬を貰うことはありません。
 現在,一般的なのは,Firefox用アドオンのNoScriptを使うことでしょうか?
 けど,これも↓
・「NoScript」をやめて「RequestPolicy」にした
http://takagi-hiromitsu.jp/diary/20090531.html
 以前,NoScriptは試した事があります。長続きしませんでした(笑
> JavaScriptで誘導される「別のWebサイト」に根源となるものが仕掛けられているのであって、
> JavaScriptはそれを起動する手段にすぎない

 御意

 RequestPolicyを試しましたが,NoScriptよりは,いいです。(ちなみに今では日本語化されてました)
 Firefox+RequestPolicy(もしくはNoScript)なら,Gumblar.8080への感染リスクは,かなり低くなると思います。
 これなら100%安全?と問われると,可能性としては,誘導ではなくて,直接踏むこともあり得るので,100%じゃないです。99%でしょうか(笑
 たーだ,RequestPolicyでも,Web閲覧をしながら,設定をして行かなければならないので,誰にでも使えるかというと,それは無理。
 (ハードルは高くないが)ある程度のパソコンの知識が必要となります。設定作業が面倒な人は,結局「すべてのリクエストを許可する」にしてしまうと思われるので,それじゃザルです。意味ないです。

 想定問答集:「こういうの↓を見ました。今度の新しいのは安全なんでしょう?」
・Mozilla、Firefox 3.6 正式版を発表!!
http://mozilla.jp/press/releases/2010/01/21/
> 「ガンブラー」の感染防止にも役立つ画期的なプラグインチェックツールを提供し、
> すべてのユーザにより安全なインターネット環境を提供します

 ははは。
 それ宣伝。
 言葉尻で申し上げると「より安全な」って言ってるでしょう。相対的なものです。みなさんが期待しているのは絶対値としての100%安全でしょうから,Mozillaだって100%と言ってませんよ。
 また運用でいうと「プラグインチェックツール」なので,対象はプラグインだけ。JavaScriptの誘導は,プラグインではないのでFirefox 3.6でも誘導はされます。

 想定問答集:「Firefox+RequestPolicyにしたら,古いJREは残しておいても,いいんでしょう?」
 RequestPolicyで対処出来るのは,JavaScriptの誘導だけです。誘導でなくて,直接行った先にトロイの木馬が置いてあれば,感染します。
 当方の推察があっているならば,今回のGumblar.8080システムで古いJREを狙う事が使えることがわかってしまったので,今後,Gumblar.8080以外のウイルスでも,古いJREは狙われると思いますよ。
 この際,アンインストールした方が,よろしいのでは?

●ESET NOD32 Antivirus (NOD32)
・国内サポートデスクに出した手紙
 期待はしていませんでしたが,いちおー,メールフォームで照会をしてみました。
 日曜日に送信して,返事が返ってきたのは,火曜日でした。
 なお,NOD32の国内販売・サポートは,キヤノンITソリューションズ。またキヤノンかい(爆

 返事の内容は,キヤノングループらしい,なんともトンチンカンなものでつた。
 こっちの質問に対しての返事は書いてなくて,さしたる技術的な説明もないまま「安心して,このままお使い下さい」そんな調子。
 まぁ~,年額何千円程度の金額じゃ,しっかりしたサポートを期待するのは,酷と言うものですが,ガンブラーのガの字も書いてなかったですよ(笑

・2010.1.26 1:00頃
 どういうわけか?突然,PCが,猛然と唸りだす。
 ディスクアクセスも頻繁に。
 タスクマネージャを起動すると,CPUが瞬間的に80%とか。
 プロセスはekrn.exe。
 したら,こんなの↓が出てきました。
f0158244_2355110.jpg
 唸っていたのは,NOD32。(後から確認したらekrn.exeはNOD32)
 トロイの木馬を発見したので検体を送ってよこせ。と。
 それは,いいとしても,なんで,今さら(苦笑
 なにがキッカケで,検出したのよ?もしかして,また別のを貰った?
 仕方なので,フルスキャンしてみたら,そのままにしていた前のでした。

●Win XP SP3 CD
 (直販で)売ってはいるんですが,こういうの↓があったので,自分で作りました
・Windows XP Service Pack 3 - ISO-9660 CD イメージ ファイル
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e
> ダウンロード サイズ :388.6 MB
 ふつーに収まるサイズでした。
 けど,ダウンロード後はライティングソフトが自動起動。ローカルディスク上では,直接見えなかった。

 なんで,こんなものを作ったかというと,もし,OSの再インストールとなった場合,Win XP SP2に戻ってしまうから。
 作業手順は,OSリカバリーの次は,Win XP SP3適用になると思いますが,ネットワークを介して行った場合,古いOSは,格好の餌食にされます。延々とやってくれるサービスパック適用の間,OSが耐えられるか?
 ならば,非ネットワークでSP3適用が出来るようにCDを用意しとこ。と,なった次第。
 ちょっと古いけど,こういう↓感じ
・こんなPCはネットにつなぐな! 3日間放置した無防備PCの結末は?
http://trendy.nikkeibp.co.jp/article/col/20050510/112145/
 当方の場合,ローカルルータがあるので,ここまで酷いことにはならないと思いますけどね。

●通信ポート
 Gumblar.8080の処理の流れで行くと,トロイの木馬は,この後,ウイルスの本体プログラムをダウンロードして実行するらしい。
 このダウンロードに使われるTCP/IPのポートって,80ポートなんですかね?
 もし,5505ポートなどを使っているなら,当方のシステムでは,ローカルルータでポートの制限しているので(ファイヤーウォール機能),それでダウンロードが出来なかったのかも?

●その他
・Microsoft版Javaは入っていませんでした。
 よって,トレンドのこの指摘↓は,該当せず。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JAVA_BYTEVER.AT&VSect=Sn
> 註:以下のセキュリティホールの修正をお勧めします。
> * Microsoft VM の問題により、システムが侵害される (816093) (MS03-011)


・Flash
 昨年末から大暴れしているGumblar.8080では(現状は)Flashは攻撃に参加していない。
 Acrobatは攻撃に参加している。

・想定問答集:「ワクチンが入っていれば大丈夫なんでしょう?」
 Gumblar.8080に限れば,ほとんど役に立たない。
 当方の例でもわかるように,リアルタイム検出は,すり抜ける場合がある。
 なぜなら,手口を毎日のようにコロコロと変えているので,ワクチンメーカーの作業が追いつかない。

・想定問答集:「Win7+IE 8+最新版ソフトならば,大丈夫なんでしょう?」
 単に,Win7+IE 8しただけでは,Gumblar.8080対策としては,不十分でしょう。
 さらにIEでJavaScriptをOFFにするとか,そこまでやってしまえば,そこそこでしょうか?
 但し,やってみるとわかりますが,JavaScriptをOFFにすると利便性がかなり落ちます。話としては,利便性より安全性が大事,というでしょうけど,実際にやってみると現状ではJavaScriptを切ると使いにくくなってしまいます。
 DEPとか,UACとか,そういう方面のハナシならば,Gumblar.8080には役に立ちませんでした。

(関連リンク)
・トロイの木馬を拾いましたぁ その1(2010.1.25)
http://rainbow55.exblog.jp/12724074/
・トロイの木馬を拾いましたぁ その2(2010.1.25)
http://rainbow55.exblog.jp/12724227/
・トロイの木馬を拾いましたぁ 作業後記(2010.1.27)
http://rainbow55.exblog.jp/12734838/
・エマーで使った(使えた)リンク(2010.1.29)
http://rainbow55.exblog.jp/12745357/
・トロイの木馬を拾いましたぁ アフターフォローアップ(2010.1.30)
http://rainbow55.exblog.jp/12749411/
[PR]
by rainbow-5 | 2010-01-27 23:10 | Comments(0)


<< エマーで使った(使えた)リンク トロイの木馬を拾いましたぁ その2 >>