UnderForge of Lack

＊＊＊＊＊ 重要 ＊＊＊＊＊

ここに書かれている問題は 2009年 6月前後の問題であり、現在進行中の Gumblar.x や 8080系問題には全く関係ありません。

インシデント系に関しては以下を参照してください。

インシデント発生： THE FIRST STEP

インシデントからの回復

TAG: Gumblar.cn


現在進行中の 8080系 (/*GNU GPL*/系）に関しては

[CAUTION] Security Tool にご用心

TAG: 8080

を併せて参照ください。











*** はじめに ***


ここを見ていらっしゃる方の中で、恐怖感に駆られていらっしゃる方。

まずは落ち着いてください。

感染しているかどうかのチェックをしてみましょう。




----------------------------------------

まずチェック

STEP 1: regedit もしくは cmd の起動確認。

感染したＰＣは、ウィルスプログラムが特定のプログラムの起動を阻害します。

STARTメニューから


ファイル名を指定して実行を選び、


regedit(改行) ：レジストリ・エディタの起動を試みます。


こんな画面がでればＯＫ。すぐに閉じてください。
出なかった人、少し不安になりましたね？



STEP 2 : cmd （コマンド・プロンプト）

MS-DOS なんていうマイクロソフト遺産登録間違いなしのアプリケーションです
さっきと同様にファイル名を指定して実行を選び


cmd(改行）；コマンドプロンプトの起動を試みます


こんな画面が出ればＯＫ（画面は少し小さくしてあります）
閉じてしまってＯＫです
出なかった人、相当不安ですよね・・・
※注意：現在の最新のウィルスでは起動します。



STEP 3 謎のファイルを確認する
このウィルスは、何故か sqlsodbc.chm というファイルに執着があるようです。
※あくまでも 2009.05.17現在の話、将来はわかりません。

そのファイルを探してみましょう。

ファイル検索を行います


sqlsodbc を探します



インストールしたばかりの Windows 2000 ですので存在しません。
slqsodbc.hlp が引っかかっています。

XPの場合は
こうなっているはずです。


※詳細 gumblar.cn感染をチェックする（MD5取得方法紹介）

ファイルのサイズが、 50K (49.5K) あるいは 50,727バイト であれば、一応改ざんされていない可能性が高いです。

改ざんされているファイルは 1000-2500バイト前後のサイズになっていることが多いです。

心配な方は上記リンク上の MD5 ハッシュによるファイルの完全一致チェックを行ってください。



STEP 4 チェック続行
ここまで来てしまった方は相当不安感が増しているはずです。

まずはおちついて深呼吸、コーヒー飲むと落ち着きますよ（主として自分の場合）

ＰＣを再起動し、再度 STEP 1 の Regedit の起動を試みてください。

もし起動しない場合には、以下の手順で、最終チェックを行います。

RegGlass -- Vector

ダウンロードした zip を解凍します。
zipの解凍の仕方がわからない場合には
とりあえず、Lhaplus -- Vectorを使ってみてください
（外部DLL不要なので、取り急ぎ解凍するために）

RegGlass を解凍したら、プログラムを起動します


aux を検索します
※midi やらに登録されていた例もあるようですが、今回のものは aux でした。



感染例（あくまでも例です）

見たことも無いような妙なファイル "rcapaus.bvy" が登録されています。

普通は、.drv や .dll といったドライバファイルが登録されています。

こうなっている場合、感染している可能性が高いです。

ウィルス対策ソフト（セキュリティソフト）をインストールしている方は、まずはそちらにご相談ください。


残念ながら私は貴方を救うための「確実な」手段を持っているわけではありません。

以下は自己責任となります、

よろしいですか？























----------------------------------------

自分のウェブサイトをチェック

一番単純で、確実な方法は、自分の管理するサイト（ホスト）の全ファイルを自分のハードディスク（ローカル）に戻し、悪意コードの検索を行います。

※ホスティングしているサイトが SFTPを使用可能でしたら WinSCPのような暗号化通信可能な方法で確実に取得されることをお奨めします。

全ファイルを自分のハードディスクに取得したら、検索をかけます。Grep というコマンドが適しています。

GREP : フォルダ内の全ファイルから特定の文字列を検索する UNIX コマンド

grep用のツールはいくつかありますが、（いつも使ってる）サクラ・エディタの例で行きますと・・・


取得したフォルダに対して、以下の文字列で検索をかけます


検索する際には


でやってみてください
※jpegに偽装したスクリプトファイルの例が報告されています。


※この例では、ファイルを指定していますが、すべてのファイルを検索する際には、検索条件を *.* にしてください。

検索結果がズラズラと表示され始めましたか？

検索結果がヒットしたからといって、感染しているわけではありません。
あなたが認識しなくても、無料レンタルサーバの場合には自動的にアクセス解析用のコード等を挿入しているところがあります。

見ただけで怪しいものもありますが・・・・
検索結果の中で、更に replace を検索します


こんな文字列が「あなたのサイトからダウンロードしたファイル内」から発見された場合、まことにお気の毒ですが感染しています。



そして、訪問者に対して（心ならずも）被害を拡散させてしまっている「可能性が」あります。


※断言はできません。可能性の問題です。
※私は貴方のサイトをみたわけではありませんので・・・


ウィルス対策ソフト（セキュリティソフト）をインストールしている方は、まずはそちらにご相談ください。


残念ながら私は貴方を救うための「確実な」手段を持っているわけではありません。

以下は自己責任となります、

よろしいですか？




















ＯＫですね？　自己責任ですよ？


--------------------------------

このウィルスは以下のような性質をもっています

---------------------------------
現在までにわかっていること、

ＰＣ間の感染は現在のところ確認されていません。

これは Conficker 等とちがって、感染したＰＣが LAN(ローカルネットワーク）間での感染拡大を行う力を持っていないことを意味します。

（少なくとも 悪意を持ったトロイ・ファイルが、ネットワークドライブへのアタッチを行おうとした形跡は認められませんでした）


ＦＴＰ接続を盗み見られた疑いがあります。

私が確認したわけではありませんが、セキュリティ会社である Sophos と ScanSafe がそのように警告しています。しかし、具体的にどのように FTP を窃取されたかは不明瞭です。

英 Sophos
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.

上記記事を基にした日経ITProの記事：
新たな「Webウイルス」が猛威、感染被害が急増
多くの場合、攻撃者は何らかの方法で正規サイトに不正アクセスし、このウイルスをWebページに埋め込む。そのページにユーザーがアクセスすると、埋め込まれたウイルスが動き出し、別のウイルスを勝手にインストールされる恐れなどがある。
FTPを窃取されたとは書いていない点に留意してください。つまりまだ確定していません。

米 ScanSafe : 主として米国のWeb Securityの会社 : Londonにも拠点有
Gumblar Q&A

訳文は自己責任で、できれば原文と照らし合わせてください。
自己責任に了解していただけましたか？ [Y]/n

どういうことかといいますと、 ScanSafe 以外、あまりこのようなウィルスの詳細検証を出していないのです。
ScanSafe社にどのくらいの信頼を置くか？という部分に関しては、皆様のご判断にお任せします。


Internet Explorer や Firefox などの通信を覗き見られた可能性があります

この部分は実際のところはよくわかっていません。

上述の FTP の ID/PASSWORD の漏洩は、ウィルス拡散の経路を辿って類推されたものです。
※オーナーではないIPアドレスからの FTPへの侵入が 正規の ID/PASSWORDを使って行われています。

問題は、 IE/Firefox等のブラウザで入力したフォーム情報などが盗み取られたかどうか？という部分ですが。

私から言えることは

現在のところ、その可能性があるだけで実際の報告は無い

ということにしておきます。

ただ、 IE も Firefox も プロセス内から sqlsodbc.chm への書き換えを行っていたことだけは確認しました。

ScanSafe社は、ブラウザ（特に IE 上）で入力した可能性のある有価情報を至急チェックするようにと警告しています。


感染した状態でのネット接続によって、不正なアフィリエイトの踏み台にさせられた可能性があります。

不正なセッションを発行した形跡等は（私のレベルでは）確認できませんでした。

一応、そういう話があるということを挙げておきます。

Malware Manipulating Google SERPs
When infected users perform certain Google searches, the search engine results page (SERP) is manipulated so that affiliate links are replacing the legitimate links. Cookie stuffing is used so that the links presented appear normal, i.e. the affiliate ID is not exposed, but the rogue affiliate gets full credit for the unintended click through.



感染した状態でGoogleの検索結果が改ざんされていた可能性があります。

これも、私には確認できませんでした。

一応、そういう話があるということを挙げておきます。

'Gumblar' attack explodes across the web
The payload is also believed to be highly dangerous. Landesman said that the malware intercepts web traffic such as Google search requests, and redirects it to fraudulent results. This allows the attackers to collect referral fees, and places the user at risk of further infection.


上述した Gumblar Q&A にも同じようなことが書いてあります。


後は、不正なプロセスが常駐していることで様々な不具合が発生するようです。常駐プロセスそのものが自己更新されるため、具体的に何が行われているかを追いかけるのは至難の業だと思われます。

セキュリティ各社の解析に期待しましょう。


---------------------------

重要なことは、感染から回復し、もし見ず知らずの他の方に感染を蔓延させているかもしれない状況を止めることです。

何度も言いますが、セキュリティ会社に相談して、自分の行動を決めてください。
私は、残念なことに、セキュリティ会社の社員ではありません。

以下は本当に自己責任です。

感染が確認されたサイトオーナーは、まずサイトの停止を行ってください。

その際、現在の感染した状態で、お詫びの html / php などを入れるのは危険です。
あなたの FTP の ID/Password は何らかの方法で不正使用されてしまっている可能性が高いからです。

涙を呑んで全ファイルを抹消し、これ以上の感染を防いでください。

もしバーチャルホストでサイトを構築している方は、バーチャルホストのセッションを切ってください。

危険でないと確証が持てる PC を探してください。

家の中の他のＰＣが感染している可能性は決して低くはありませんが、LAN経由での感染拡大の可能性は低いため、もう一度感染しているかどうかの確認を行ってください。

感染していないと判断できた場合、そのＰＣを使って、FTPの Password の変更を行ってください。
この際、新パスワードをあせって忘れないようにご注意ください。

サイトのTOPに告知を行うことをお勧めします。
これは、過去に訪問した方が既にウィルスに感染し、もしかしたらその人のホームページが汚染されるかもしれない事を防ぐために重要な要素であると信じます。

あくまでも例ですが、この記事に参照されている会社の例をごらんになるといいかもしれません。
正規サイト改ざん(2)～改ざんの手口が明らかに

この段階で、あなたのＰＣの問題に移動しました。

感染したＰＣからのバックアップを行います

バックアップは非常に大変です。
ですが、現在は HDD の価格も下がっていますので、この際きちんとバックアップを取ることをお勧めします。

必要と思われるファイル群をすべてバックアップします。

汚染されたＰＣを回復します

セキュリティベンダーにそうだ・・・（さすがにもう止めときます・苦笑）
ここまで見ている方は、相当お困りでしょうから・・・

私個人としては、システムのリカバリー、できればクリーンインストールをお勧めしておきます。

このウィルスはまだ挙動が完全に把握できていません。どこにどんなファイルが潜んでいるのか、全く理解できません。

仮にトロイ単体のみを除去して、それで安心して翌日から使えるか？という点が重要になります。


再掲になりますが
あくまでも例ですが、この記事に参照されている会社の例をごらんになるといいかもしれません。
正規サイト改ざん(2)～改ざんの手口が明らかに
ここに書かれている、感染サイトの会社がどういう対処を行ったか？　という部分を含めてご検討ください。

絶対にリカバリーが出来ない！
という方は、

英語ですがGumblar .cn Exploit - 12 Facts About This Injected Scriptの Removal のあたりを参照してください。

私はお勧めしないということを、ここに付記しておきます。

サイト再開の準備

自分の環境を再検証します。

使用している OS の バージョンは 最新のものですか？
Microsoft Update を行いましたか？ Microsoft

Adobe Flash Player は最新のものですか？ Adobe Flash Player

Adobe Acrobat Reader は最新のものですか？ 最新バージョンのAdobe Readerのダウンロード

できればこの機会にご使用中のInternet Explorerを再検討してください。

IE7を使っている方は IE8 へのアップデートを検討してください。

IE6しか使えない方は Firefox, Opera, Chrome あるいは Safari といったブラウザも検討してください。

私が使っているのは Firefox 3.0.10 + NoScript という環境下でコレまで（別のトラブルを除いて）不満はありません。
しかし、皆さんの判断しだいです。



-------------------
2009.05.14 First Edition

2009.05.16 Second Edition Disposed

2009.05.17 Published Draft

Thanks for THW !

This entry was posted on 金曜日, 1 月 14th, 2000 at 1:49 PM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.