Preparing Against PE_Virux
先日お知らせした複合型ウィルス PE_Virux ですが、日本国内での感染が確認されましたので警戒ランクを上げてください。
高度な技術を使ったファイル感染型ウイルス「PE_VIRUX」ファミリ
2009年2月、ファイル感染型ウイルス「PE_VIRUX」ファミリの最初の亜種が確認されています。その巧みな拡散戦略、侵入後の広範囲にわたる破壊活動、ステルス性から今後更なる被害拡大が予測されます。本記事ではこれまでに判明した情報についてお知らせします。
この記事執筆時において、「PE_VIRUX.A」の被害が最も深刻なのが米国、「ウイルストラッキングセンター(World Virus Tracking Center)」の集計によれば約83,000台の感染が報告されています。次いでランクインしているのが日本、約7,900台と数こそ米国に劣るものの無視できる値ではありません。
W32.Virut.CF
W32/Virut.n
感染した.exeの一つの(たぶんヒューリスティック的)検知状況
MD5:80ae1c672377834ce0874e11e4685376
注:感染はありとあらゆるPE(.exe .com .dll .sys)に対して行われるため、埋め込まれた実行ファイルを単独検知することにあまり意味はありません。
---------------------
感染の確認
追加した覚えがないのにhostsファイルに以下の文字列が挿入されている
127.0.0.1 ZieF.pl
#
ZieF.pl へのhostsでの禁止措置を防ぐために、あらかじめコメント化していると思われます。
(注)TrendMicroのレポートにはコメント化の注意が無いため、hostsに禁止措置を書きつつ、
DNSクライアントが無効にされている可能性も否定できません。
かんちがい
windows のhosts はhosts.allow /hosts.denyと違ってドメインのブロックはできないため、
127.0.0.1 zief.pl
と記述していても
irc.zief.pl へのブロックはできません
(注)Spy-botのようなhostsに直接禁止措置を書き込むツールが将来追加する可能性もあります(笑)
以下のレジストリに数値が設定されている
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\"UpdateHost" = "[BINARY VALUE]"
この設定により、Windows File Protectionが無効化されます。
以下のレジストリに数値が設定されている
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
この設定により、Windows Firewallが無効化されます。
注意:
hostsファイル及びレジストリの改変は、windowsシステムに致命的な障害をもたらす場合があります。知識が無い場合には技術者に相談してください。
---------------------
McAfeeから危険IPリストが出ていますので
IP ブロック可能な方は(緊急的対策として)以下のIPアドレスをブロックしてください
IPS設定管理者は以下のIP、もしくはIP範囲、ホストを拒絶してください。
61.235.117.81 - irc.zief.pl -- China
host: China Railcom
Shenzhen - Guangdong (香港の北部) -(Google Map)
危険範囲 61.235.117.0-61.235.117.255 (China Railcom Guangdong Shenzhen Subbranch)
このChina Railway Communicationが保有しているIP範囲は異常に広いので調べきれませんでした・・
ただ、spamやらMalware配布やらの温床として悪名が高いようです。
DNS Poisoning防止のためのキャッシュ遮断 : 58.65.232.33
Host: HostFresh (香港のISP)
HostFresh全体を信用しない(笑)人へ
危険範囲:58.65.232.0-58.65.239.255
61.235.117.81 - proxim.ircgalaxy.pl (China)
IPは上記と同じ、ドメイン情報はクローズ(Reverse : No information)
211.95.79.6 - horobl.cn -- China
host: UNICOM
city: Shanghai. CN (Google MAP)
UNICOM 全体を信用しない(笑)人へ
危険範囲 211.90.0.0-211.97.255.255 (China United Telecommunications Corporation)
211.95.79.6 - goasi.cn -- China
同上
setdoc.cn (?)
正引き不能(could not be resolved)
※現在は接続不能でも、将来復活する可能性もあります
209.205.196.18 - USA
PacnetのUS法人?
San Ysidro Ca. USA (Google Map)
Pacnet 全体を信用しない(笑)人へ
危険範囲 209.205.192.0-209.205.223.255 (209.205.192.0/19)
危険範囲 209.205.224.0-209.205.239.255 (209.205.224.0/20)
66.232.126.195
逆引き不能 (could not be resolved)
69.46.16.191 - USA
※VIRUXによって情報収集されたデータのメール転送先
Host :HIVELOCITY hosting (HIVELOCITY VENTURES CORP)
Tampa Fl. USA (Google Map)
HIVELOCITY 全体を信用しない(笑)人へ
危険範囲 69.46.0.0-69.46.31.255 (69.46.0.0/19)
追加
218.93.202.114 -- China
Host : CHINANET jiangsu province (GoogleMap)
CHINANET jiangsu province 全体を信用しない(笑)人へ
危険範囲 218.90.0.0-218.94.255.255
58.65.232.34 -- China(HK)
Host: HostFresh (GoogleMap)
またオマエカ(笑)
HostFresh全体を信用しない(笑)人へ
危険範囲:58.65.232.0-58.65.239.255
補足
「iPhone売ります」、偽サイトに誘導する便乗ウイルス
に使用されていたのもHostFresh
※注意
ホストとIPは変動する可能性が高いですので、あくまでも「現時点」での応急措置です。
レンジブロックをすると、関係ない場所も焼かれてしまう可能性もあります。
(もっとも、抗ウィルスソフトメーカから危険IPとしてレポートされているにもかかわらず、何もアナウンスしないような情報薄弱企業は焼いてしまってかまわないと思いますが・笑)
---------------------
わかる人用リスト
#for hosts
#Blocking against PE_VIRUX
127.0.0.1 irc.zief.pl
127.0.0.1 zief.pl
# (笑)
127.0.0.1 proxim.ircgalaxy.pl
127.0.0.1 irc.ircgalaxy.pl
127.0.0.1 horobl.cn
127.0.0.1 irc.horobl.cn
127.0.0.1 goasi.cn
127.0.0.1 irc.goasi.cn
127.0.0.1 setdoc.cn
127.0.0.1 irc.setdoc.cn
/* FOR PEER GUARDIANS */
/* SPOT SETTINGS */
PE_VIRUX_irc.zief.pl:61.235.117.81-61.235.117.81
PE_VIRUX_China Railcom Guangdong:61.235.117.0-61.235.117.255
PE_VIRUX_horobl.cn:211.95.79.6-211.95.79.6
PE_VIRUX_Pacnet Ca.:209.205.196.18-209.205.196.18
PE_VIRUX_Unknown:66.232.126.195-66.232.126.195
PE_VIRUX_HIVELOCITY:69.46.16.191-69.46.16.191
PE_VIRUX_CHINANET_jiangsu:218.93.202.114-218.93.202.114
PE_VIRUX_HOSTFRESH:58.65.232.34-58.65.232.34
/* FOR PEER GUARDIANS */
/* AREA SETTINGS */
PE_VIRUX_WARNING_HostFresh:58.65.232.0-58.65.239.255
PE_VIRUX_WARNING_UNICOM.Cn:211.90.0.0-211.97.255.255
PE_VIRUX_WARNING_Pacnet:209.205.192.0-209.205.223.255
PE_VIRUX_WARNING_Pacnet:209.205.224.0-209.205.239.255
PE_VIRUX_WARNING_CHINANET_jiangsu:218.90.0.0-218.94.255.255
PE_VIRUX_WARNING_HIVELOCITY:69.46.0.0-69.46.31.255
---------------------
IFrameによる誘導からマルウェア誘導が行われます。
Firefoxユーザの方は
No Script ダウンロード:
No Script
Option → <IFRAME>を禁止
でIFRAMEタグも原則禁止できます。
IEの方は
IE6: IEのセキュリティ設定
IE7: アカウントハックから身を守るために
※IE7の場合、Iframe無効でもJavaScriptが自動実行されるため意味が無い(JSはロードされる・笑)という説もあります。
---------------------
実際に感染してしまった人の悲痛な叫び
SBS2003 infected with PE_VIRUX.A-4 [Trend]
---------------------
Sooner or Later, the worse possible set of circumstances is bound to occur.
5 月 4th, 2009 at 2:30 AM
[...] i@googlemail.com inetnum: 61.235.117.0 - 61.235.117.255 descr: China Railcom Guangdong Shenzhen Subbranch うぉ・・ 古巣にもどってきた(笑) 61.2** 系は怪しいトコが多いので多めに・・・ BLOCK: 61.235.117.0 - 61.2 [...]
5 月 11th, 2009 at 9:52 PM
[...] 55.255 PE_VIRUX_WARNING_HIVELOCITY:69.46.0.0-69.46.31.255 ---------- 現在のまとめ : 予防措置も含めて 2009.05.09 Host Flesh HongKong 58.65.232.0 - 58.65.239.255 2009.05.09 regarding nicovedeo MAINT-CHINANET(CHINANET-SC) CN 61.139 [...]