Archive for 2 月 15th, 2009

Rogue Security Softwares

Posted in security on 2 月 15th, 2009 by gnome


パソコンウイルス対策 新手口の被害急増
「あなたのパソコンはウイルスに感染している」「個人情報が漏れている」-。こうした警告がパソコンの画面に突然現れて「偽ウイルス対策ソフト」を売りつける「押し売り」が問題化する中、メールにウイルスを添付する新たな手口が現れたことが、独立行政法人「情報処理推進機構(IPA)」(東京都文京区)の調べで分かった。昨年10月から今年1月までに「偽ソフト」を導入してしまったとの相談が83件と急増しており、IPAは「新手口が急増の大きな要因」とみて注意を呼びかけている。

んん?
IPAも最近がんばってるのはいいけど、「新たな」話じゃないんじゃない?

と思ったら
コンピュータウイルス・不正アクセスの届出状況[10月分]について -- 2008.11

去年の11月の話を今頃蒸し返してるのか(笑)
まぁでも、この問題も重要なので良しとしましょう。

------------------------
手口

まず、どこかのWebサイトをフンズケルと

こんな感じの窓が開いてアプリケーションをインストールさせます。
ポップアップブロックされていればスルーされますし、知らないWebからの怪しげなソフトをインストールする人は、ここを見てる人にはいないでしょうが・・


こんな感じでメール添付で送られてくることもあります。
最近はおそらくもっと手が込んでいるでしょう。

はっきり言って、こんなもんをインストールされるような人はウィルスにも侵蝕されまくってるような気がしないでもないわけですが!

哀れにもインストールしてしまった人は
タスクバーに見覚えのないアイコンができていて、そこから「ウイルスに感染しています」などといった警告メッセージが表示される。
警告メッセージ
この時点ですでに「感染」させられています(笑)

そして、突然ウィルス(スパイウェア・マルウェア・・等)のチェックを勝手に始める
ウイルススキャン画面
その他の「セキュリティ対策ソフトの押し売り」行為を行うソフトの起動画面についてはこちら

こうした「偽セキュリティソフト」は、昨年IPAが公表したものだけでも

AdvancedPrivacyGuard Alphawipe AntiSpyware
AntiSpywareExpert AntiVirus2008 AntiVirus XP 2008
Doraibuhogo DriveCleaner HadodoraiBugado
NetTurboPro SpyDajaba Spyware Remover
SupaShuri VirusRemover2008 VirusVanguard
WinAntiSpyware WinAntiVirus WinAntivirusPro2006
WinAntivirusPro2007 WinFixer WinXProtector 2.1
XPAntivirus XPSecurityCenter  

これだけの数があり、実際にはもっとたくさんあります。

参考1
Rogue software

参考2
Rogue/Suspect Anti-Spyware Products & Web Sites

------------------------
そうか、ウィルスをばらまいても現金収入にはならないけど
この手のRogue-Ware をばらまくと、日銭になるのか(笑)

あと、こんなソフトにカードなんか使ったら思いっきりスキミングされますネ

------------------------
前もどっかに書いた気がしますが

無料でも素晴らしい機能を提供しているセキュリティソフトは山のようにありますので、こんな怪シゲなソフトをインストールしてはいけません。

というよりも、押し売りを行うようなソフトは、まず ならず者ソフト(RogueWare)だと疑ってかかりましょう(笑)

代表的なフリーのセキュリティソフト (*)印は現在私が使用中(笑)

アンチウィルス
AntiVir (*)
avast!
AVG
上記3つはフリー・アンチウィルスの定番です。3社とも切磋琢磨でがんばっていますので、(一時的な)優劣はあまり気にしないほうがいいです。
BitDefender (*)たまにサブチェックで使ってます。
追記
Kingsoft Internet Security
某さんから、コレも入れてくれと言われましたが・・・私はつかったことありませぬ。
っていうかYahooToolBarヤメレ(笑)

アンチスパイウェア
Ad-Aware Free 最近はよくなったらしい~
SpyBot (*) 好き嫌いあるけど、私は好きかな(笑)
SpywareBlaster (*) サブ検出にたまに使ってます
SUPERAntiSpyware
Windows Defender - Microsoft ばるまー!
Spyware Terminator 注:この会社、自社でAdwareも作ってるマッチポンプ(笑)
a-squared 注:深部スキャン(Deep)は誤検出が多め

パーソナル・ファイアウォール
Comodo (*)
ZoneAlarm
その他は FreeFireWall@Wiki

------------------------
検出率とか保護機能とか占有メモリとか重さとかを気にする人は
それなりの市販品を使ってください
ただ、市販品だからといって、優れているかどうかは定かではありません(笑)

------------------------
Yours sincerely

1 Comment »

WTF happens of Conficker?

Posted in RiskHedge, security on 2 月 15th, 2009 by gnome


Microsoftが25万ドルの懸賞金をかけたConficker/Downadup ですが、事態が益々悪化しています。

ここを見てる個人の方は(セキュリティ意識が高い方でしょうから)あまり関係ないかもしれませんが、企業などのDMZ の内側のイントラネットで猛威を振るっています。

どういうことかと言いますと、イントラネット内部にはInternetと切り離されて「Windows UPDATEすら行ったことの無い」PCが大量に存在します。そこにUSB経由で感染して蔓延するという、まさにトロイの木馬的な感染っぷりです。

どうもコイツは、過去に駆除されたPCに無理やり侵入するロジックをもっているようでして、「感染してないけど、撒き散らす」という半ゾンビ化した「スキャッター」の存在も確認されているようです。
それを感染状態って言うって説もありますが(笑)

当初はロシア製(ウクライナ)のウィルスだと思われていたのですがその理由が・・・
Conficker(Downadup)ワームに関するまとめ
まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。
そんな理由で判断してたのか・・・・

現在はこの変種にあたる
Conficker.B
が出現しています。

------------------------
感染から蔓延へのプロセス

コレは感染すると・・・
・自己を.DLLと偽装して本体を再コピーします。
・レジストリを改造して、再起動の度に「コピー」を起動します
・起動後、自己のプロセス名を偽のサービスとしてロードします
・サービス名をランダムに生成します
のような動作をおこなって、自己隠蔽します。

更に感染拡大の為に・・
・脆弱な ADMIN$ の共有パスワードを使用して共有ネットワーク内のPCに、普遍的なパスワードを使用してログインを試みます。
・ログオンに成功すると、アクセス可能な admin の共有にADMIN$\System32\.dll としてそれ自身をコピーします。
・コピーされたワームはリモートでジョブ スケジュールを作成して、コピーを有効化します。
・ ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。
・マップされた有効なドライブに'RECYCLER'というフォルダを作成します(消されていないゴミ箱の中身)。
・RYCYCLERにワーム本体をコピーし、 autorun.inf で次回起動時に自動実行します。
これで、DMZ の内側にあるPC群が陥落してしまう可能性が非常に高いです。

更に・・
MS08-067が未適用のPCは、1024 から 10000 の間のランダム ポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
※この際、更に違う亜種をダウンロードされる可能性が高いです。

・システムを変更し、隠しファイルを見えなくします。
値の追加: "CheckedValue"
データ: "0"
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

・システムの TCP 構成を変更し、多くの同時接続を許可します。
値の追加: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

これだけでも恐ろしいのに、更に
Win32/Conficker.B は Windows Defender 向けのレジストリ キーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。
この文字列を持ったモジュールがプロセスとして起動することを阻害します。
(文字列のほとんどがウイルス対策およびセキュリティ ソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください)

また、システムリカバリを防止するためにシステム復元ポイントを破壊します。

こうして完全に屈服したPCを操り、BotNet化するための手段として
以下のサイトに接続を試み、Internetに接続されているかどうかを確認します。
aol.com
cnn.com
ebay.com
msn.com
myspace.com

インターネット接続が可能なPCは
http:///search?q=%d
のルールに従って、次のサイトへ接続、ファイルのダウンロードを試みます。
構築された URL の例


------------------------
ここまで読んで頭痛がしてきた方も多いと思います。
何故、イントラネット内部で蔓延しているのか?というのも頷けます。

個人のPCは(ここを見てる方は特に)影響が薄いのですが
スキャッターのみに感染している場合、USBメモリ経由で(気が付かずに)亜種を会社に持ち込んでしまう可能性が有ります。

普遍的なパスワードあたりでギクリとした人は、早急にパスワードの変更を行ってください。

他参照:
本サイト内 Tag:Conficker

そのとき何が、「WORM_DOWNAD」ファミリの振り返り 2008.12.24

Spy-Agent.da
遮断すべきIP/host
59.106.145.58
doradora.atzend.com
perlbody.t35.com
summertime.1gokurimu.com

「Downadup」ワームの巧妙なるネットワーク・スキャン

「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム

抗ウィルスベンダ各社の対応リンク

-------------------------
The probability of anything happening is in inverse ration to its desirability.

2 Comments »

ホットワード padding margin Rogue パソコン ウイルス
割引クーポンまとめ情報 - クー割