UnderForge of Lack

先日お知らせした複合型ウィルス PE_Virux ですが、日本国内での感染が確認されましたので警戒ランクを上げてください。

高度な技術を使ったファイル感染型ウイルス「PE_VIRUX」ファミリ
2009年2月、ファイル感染型ウイルス「PE_VIRUX」ファミリの最初の亜種が確認されています。その巧みな拡散戦略、侵入後の広範囲にわたる破壊活動、ステルス性から今後更なる被害拡大が予測されます。本記事ではこれまでに判明した情報についてお知らせします。

この記事執筆時において、「PE_VIRUX.A」の被害が最も深刻なのが米国、「ウイルストラッキングセンター（World Virus Tracking Center）」の集計によれば約83,000台の感染が報告されています。次いでランクインしているのが日本、約7,900台と数こそ米国に劣るものの無視できる値ではありません。


W32.Virut.CF

W32/Virut.n

感染した.exeの一つの（たぶんヒューリスティック的）検知状況
MD5:80ae1c672377834ce0874e11e4685376
注：感染はありとあらゆるPE（.exe .com .dll .sys）に対して行われるため、埋め込まれた実行ファイルを単独検知することにあまり意味はありません。

---------------------
感染の確認

追加した覚えがないのにhostsファイルに以下の文字列が挿入されている
127.0.0.1 ZieF.pl
#
ZieF.pl へのhostsでの禁止措置を防ぐために、あらかじめコメント化していると思われます。
（注）TrendMicroのレポートにはコメント化の注意が無いため、hostsに禁止措置を書きつつ、DNSクライアントが無効にされている可能性も否定できません。
かんちがい
windows のhosts はhosts.allow /hosts.denyと違ってドメインのブロックはできないため、
127.0.0.1 zief.pl
と記述していても
irc.zief.pl へのブロックはできません
（注）Spy-botのようなhostsに直接禁止措置を書き込むツールが将来追加する可能性もあります（笑）

以下のレジストリに数値が設定されている
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\"UpdateHost" = "[BINARY VALUE]"
この設定により、Windows File Protectionが無効化されます。

以下のレジストリに数値が設定されている
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
この設定により、Windows Firewallが無効化されます。

注意：
hostsファイル及びレジストリの改変は、windowsシステムに致命的な障害をもたらす場合があります。知識が無い場合には技術者に相談してください。

---------------------
McAfeeから危険IPリストが出ていますので
IP ブロック可能な方は（緊急的対策として）以下のIPアドレスをブロックしてください
IPS設定管理者は以下のIP、もしくはIP範囲、ホストを拒絶してください。

61.235.117.81 - irc.zief.pl -- China
host: China Railcom
Shenzhen - Guangdong (香港の北部) -(Google Map)
危険範囲 61.235.117.0-61.235.117.255 (China Railcom Guangdong Shenzhen Subbranch)
このChina Railway Communicationが保有しているIP範囲は異常に広いので調べきれませんでした・・
ただ、spamやらMalware配布やらの温床として悪名が高いようです。

DNS Poisoning防止のためのキャッシュ遮断 : 58.65.232.33
Host: HostFresh (香港のISP)
HostFresh全体を信用しない（笑）人へ
危険範囲：58.65.232.0-58.65.239.255

61.235.117.81 - proxim.ircgalaxy.pl (China)
IPは上記と同じ、ドメイン情報はクローズ(Reverse : No information)

211.95.79.6 - horobl.cn -- China
host: UNICOM
city: Shanghai. CN (Google MAP)
UNICOM 全体を信用しない（笑）人へ
危険範囲 211.90.0.0-211.97.255.255 (China United Telecommunications Corporation)
211.95.79.6 - goasi.cn -- China
同上

setdoc.cn (?)
正引き不能(could not be resolved)
※現在は接続不能でも、将来復活する可能性もあります

209.205.196.18 - USA
PacnetのUS法人？
San Ysidro Ca. USA (Google Map)
Pacnet 全体を信用しない（笑）人へ
危険範囲 209.205.192.0-209.205.223.255 (209.205.192.0/19)
危険範囲 209.205.224.0-209.205.239.255 (209.205.224.0/20)

66.232.126.195
逆引き不能 (could not be resolved)

69.46.16.191 - USA
※VIRUXによって情報収集されたデータのメール転送先
Host :HIVELOCITY hosting (HIVELOCITY VENTURES CORP)
Tampa Fl. USA (Google Map)
HIVELOCITY 全体を信用しない（笑）人へ
危険範囲 69.46.0.0-69.46.31.255 (69.46.0.0/19)

追加
218.93.202.114 -- China
Host : CHINANET jiangsu province (GoogleMap)
CHINANET jiangsu province 全体を信用しない（笑）人へ
危険範囲 218.90.0.0-218.94.255.255

58.65.232.34 -- China(HK)
Host: HostFresh (GoogleMap)
またオマエカ（笑）
HostFresh全体を信用しない（笑）人へ
危険範囲：58.65.232.0-58.65.239.255

補足
「iPhone売ります」、偽サイトに誘導する便乗ウイルス
に使用されていたのもHostFresh

※注意
ホストとIPは変動する可能性が高いですので、あくまでも「現時点」での応急措置です。
レンジブロックをすると、関係ない場所も焼かれてしまう可能性もあります。
（もっとも、抗ウィルスソフトメーカから危険ＩＰとしてレポートされているにもかかわらず、何もアナウンスしないような情報薄弱企業は焼いてしまってかまわないと思いますが・笑）

---------------------
わかる人用リスト

#for hosts
#Blocking against PE_VIRUX
127.0.0.1 irc.zief.pl
127.0.0.1 zief.pl
# (笑)
127.0.0.1 proxim.ircgalaxy.pl
127.0.0.1 irc.ircgalaxy.pl
127.0.0.1 horobl.cn
127.0.0.1 irc.horobl.cn
127.0.0.1 goasi.cn
127.0.0.1 irc.goasi.cn
127.0.0.1 setdoc.cn
127.0.0.1 irc.setdoc.cn

/* FOR PEER GUARDIANS */
/* SPOT SETTINGS */
PE_VIRUX_irc.zief.pl:61.235.117.81-61.235.117.81
PE_VIRUX_China Railcom Guangdong:61.235.117.0-61.235.117.255
PE_VIRUX_horobl.cn:211.95.79.6-211.95.79.6
PE_VIRUX_Pacnet Ca.:209.205.196.18-209.205.196.18
PE_VIRUX_Unknown:66.232.126.195-66.232.126.195
PE_VIRUX_HIVELOCITY:69.46.16.191-69.46.16.191
PE_VIRUX_CHINANET_jiangsu:218.93.202.114-218.93.202.114
PE_VIRUX_HOSTFRESH:58.65.232.34-58.65.232.34

/* FOR PEER GUARDIANS */
/* AREA SETTINGS */
PE_VIRUX_WARNING_HostFresh:58.65.232.0-58.65.239.255
PE_VIRUX_WARNING_UNICOM.Cn:211.90.0.0-211.97.255.255
PE_VIRUX_WARNING_Pacnet:209.205.192.0-209.205.223.255
PE_VIRUX_WARNING_Pacnet:209.205.224.0-209.205.239.255
PE_VIRUX_WARNING_CHINANET_jiangsu:218.90.0.0-218.94.255.255
PE_VIRUX_WARNING_HIVELOCITY:69.46.0.0-69.46.31.255

---------------------
IFrameによる誘導からマルウェア誘導が行われます。

Firefoxユーザの方は

No Script ダウンロード：No Script

Option → <IFRAME>を禁止
でIFRAMEタグも原則禁止できます。

IEの方は
IE6: ＩＥのセキュリティ設定

IE7: アカウントハックから身を守るために
※IE7の場合、Iframe無効でもJavaScriptが自動実行されるため意味が無い（JSはロードされる・笑）という説もあります。


---------------------
実際に感染してしまった人の悲痛な叫び

SBS2003 infected with PE_VIRUX.A-4 [Trend]

---------------------
Sooner or Later, the worse possible set of circumstances is bound to occur.

ごめんなさい
聞いたことすら無かった抗ウィルスソフト、G Data 2009 ですが
2009/02/19の発売を前にして激しいトラブルを引き起こしているご様子・・・

【緊急】2009年体験版をお使いの方へ～誤検出による不具合
日頃、弊社の「G DATAインターネットセキュリティ2009」体験版をお使いくださり、まことに有難うございます。
2009年2月13日（金）日本時間12:00-18:00のあいだに、上記体験版にてウイルススキャンされた場合（もしくはインストール後スキャンされた場合）、"Winlogon.exe"を誤検出するおそれがあります。
謹んでお詫び申し上げます。
"Winlogon.exe"を誤検出した場合、パソコンが起動しなくなるおそれがあります。下記の説明をよく読み、対応をお願いいたします。
【追記　2009年2月14日午前7時現在、Vistaではこの問題が起こっておりません。XPの一部環境において発生しています。】

（中略：Windows復旧作業の記述・笑）

以上、手順を示しました。
今回の件につきまして、本当に申し訳ありませんでした。
万が一、問題が生じた方が、このページをご覧になってくださっていることを、心より、お祈り申しあげます。


いや・・問題生じた人はページを見ることできないでしょうに・・・
心から祈られても無理です。

まぁ・・このテのミスは
ウイルス対策ソフト「AVG」がファイルを誤検知、Windows XPが起動しないケースも
なんかもヤラカシテはいますがネ。
Vistaが平気なのは管理者権限が必要だったからだけで、別にこのソフトが偉いわけじゃない気もスル・・・

イメージダウンの払拭はタイヘンソウですけどがんばってください

----------------------------
MD5:4afe7414ed249e5ab52f604ad366e93c (winlogon.exe)
BitDefender エンジンだったのね・・
でも、本家BDでは何も起きてないのはなぜだろう・・？

Vistaにすべきか、Windows 7を待つべきか――移行に悩むユーザーへ

Microsoftは、Windows VistaやWindows 7への移行を検討している企業を対象として詳細なガイダンスを発行した。
Windowsクライアント部門の製品管理担当シニアディレクターを務めるガブリエラ・シュースター氏は、同社の「Windows for your business Blog」への最近の投稿記事の中で、Windows VistaおよびWindows 7への移行問題に企業はどう対処すべきかについてMicrosoftの見解を示したガイダンスを公開した。この指針は、企業が現在運用しているプラットフォームと全般的な移行目標に分類して記述されている。Windows 7にいつ移行すべきかという問題をめぐってユーザーの間で生じている混乱を解消するのが、Microsoftの基本的な狙いだ。

なぜかこのガイダンスを巡って、某掲示板が炎上してるらしいのですが・・・
たぶんこの部分がカチンと来たのでしょう。

しかし、Windows XPからWindows 7に直接移行する時期まで待つつもりだというユーザーに対して「そういった企業では、アプリケーションがWindows XP上でサポートされなくなり、Windows 7でもまだサポートされないという状況に直面する可能性がある」とシュースター氏は警告する。

We know some of our customers are considering waiting for Windows 7 instead of deploying Windows Vista today. We want these customers to understand the following considerations, so they are not surprised later on:
You may find your company in situations where applications are no longer supported on Windows XP and not yet supported on Windows 7.

至極当然のコト言ってるような気がしますケド・・？
直前の文章に

「現在、Windows XPを利用しており、Windows 7が登場するまで待つつもりであれば、Windows Vistaを省略するリスクを考慮した上で、現在利用可能なβ版を使い、自社環境でのWindows 7の早期評価の準備をするといい。Windows VistaとWindows 7の互換性が高いため、Windows Vista上でアプリケーションのテストおよび修正を行えば、Windows 7の導入が容易になる」

とありますので、自社開発や個別のアプリケーションを運用している企業は、Vista上、あるいは現在βテスト中（ダウンロード完了しましたが）のWin7-Betaでテストしなさいって言われてますね。（当然、β版でのテストではOSの問題なのかアプリの問題なのか切り分けが出来ないエラーを背負うリスクはあるわけですが・・） そういう手間を惜しんでいきなりWin7を導入すると、トラブルが発生する可能性がありますよっていう話であり、リスクヘッジの正当な警告のような気がします。

市販／PDSのアプリしか使わないユーザ層には関係ない話ではありますが、現在WinXP(32bit)で自社開発のアプリを保有してて、いきなりWin7の64bit環境に持ち込んだらトラブル起きないはずが無いでしょうに（笑）
もっとも、小規模のソフトウェア開発スタジオには深刻な問題です。しかし、最新のOSに「対応できません」と言う訳にもいかないわけですから、一番ワリを食うのがソフトハウスでしょう。

2010年にはwin2Kのサポートが完了するわけですが、逆にいえばまだサポートを続けているわけです。現在、WinME /Win98 /Win95を使っている人がほとんどいないのは、Microsoft のHotFix の対象外になっているからです。XP でも全然問題無い！という所は無理してUpdate せず、XP のHotFix が適用されている期間はそのまま使用するのも一つの選択肢です。しかし、（恐らく）64bit アプリが主流になってくるとXP がデファクトスタンダードの座から退くのもそう遠い日では無いでしょう。そうなったときに慌ててWindows7 にしても、旧来のアプリ全滅！ということになり、32bit アプリなんかもう誰もわからないよ！となってしまうかもしれないのはありえない話ではありませんね。

そういうアプリだけ仮想環境に閉じ込めて実行させるというテもあるわけですが（笑）

-------------------------
「まだ2kがメインのお前にはかんけーねー話ダロ？」

ひどいことイワレタ(ノ＿;

私信；
お悔やみ申し上げます ＞ 犠牲者候補の人へ