UnderForge of Lack

今週はここに居なくなるので、更新が遅延します。

といってもこっそりイロンナとこから書くかもしれませんが（笑）

では、変なタグに気をつけてネットサーフィン（死語）をお楽しみください

G`nome

Comodoの無料ファイアウォール/HIPS +ウィルススキャンの総合セキュリティ・スィーツ CISが日本語化間近になりました。

Japanese translation finished.

最近、やたらとアップデートを繰り返していましたが、そろそろ安定したのかな？

Firewall + HIPS としては、使い勝手の良いソフトだと思っています。
しかし、Defence+ (HIPS)は何でもかんでも OK を押すような悪いクセが付いてしまう可能性もありますので、人によっては入れないほうがいいこともあります（苦笑）
日本語化されたら、少しはメッセージを気に留めてくれるようになるのかな・・

あと、デフォルトでインストールしようとすると、変なツールバーとか入ってしまったり、（このエンジンで）ウィルススキャンを勝手に開始したりするので気をつけましょう。

-------------------------
何でウィルススキャンが灰色なんだ？とお怒りの方もいるとは思いますが、まだまだ撃墜力に難があるので、私としてはお奨めしていないだけです（笑）

何でもこの会社が優れてる！
なんてことはないんですよ > バルマーさん（笑）

GENo・・じゃなかった Zlkonウィルスに「感染した」状態からの復旧ってどうすればいいの？

って質問が舞い込んで来ましたが
実際のトコ、「まだ解析が完了してない」のでどうすればいいのかは不明です。

判ってる範囲でよければ・・・・・

レジストリ
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 をチェックし、
見慣れないファイル名 （.drv, .dll 以外）が設定されている場合は、そのファイルの出所を確認する
bgrn.mym　bpagokx.nmy　cqe.rgg のような変なファイルが設定されている場合は感染しています。
まず、そのファイルの削除
該当するレジストリキーも削除し、リカバリする

レジストリ
HKLM\System\CurrentControlSet\Control\Session Manager をチェックし、
PendingFileRenameOperations　の数値が変更されている (0以外)は、0にする

ファイル：sqlsodbc.chm (Win XPの場合)
C:\WINDOWS\system32\sqlsodbc.chm のファイルサイズ、ハッシュを確認
改竄前 (WinXP SP3) : 50,727 bytes　MD5:F639AFDE02547603A3D3930EE4BF8C12
これと違った場合、一度消してリカバリ（修復インストール）をかける

ファイル：sqlsodbc.chm (Win 2kの場合)
そもそも存在しないファイルなので消す

Rootkitの検出・削除
McAfee Rootkit Detective Beta
を使って Rootkitを検出、削除する。

Malwarebytes' Anti-Malware を使ってMalwareの消去を図る
Malwarebytes' Anti-Malware

キーロガーが検出されないことを確認する
KL-Detector v1.3
を使って、キーストロークに対して不正プロセスが動作していないことを確認する。
キーロガー専用対策ツール「KL-Detector」 -- All about


・・・・・・・
もうお分かりですよね？

感染が確認された時点で、バックアップとってクリーンインストールしたほうが（恐らく）時間的ロスが少ないと思います。（苦笑）

-----------------------------------
現在判っている感染プロセスは３つ


1) swfのスタックオーバーフローを利用したマルウェア実行

2) pdfのJavaScript脆弱性を悪用したリモートコード実行

3) 直接 PE型マルウェア埋め込み（死）


たぶん 1/2 の感染プロセスによって実行されるのは 3のPE型と同じだとは思うのですが、確証はありません。

（1/2の段階でリモートコード実行が行われなかった場合、単にクラッシュしただけで終りです）

-----------------------------------
ダウンロードされた PE型の挙動

ここを見ればわかるのですが・・・・
Analysis Report for 8lv.exe

レジュメとしては

ファイル作成
UPX（複合型の実行ファイル群）を展開し、テンポラリフォルダから任意の場所にペイロードを投下

以下のレジストリを改変
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
AUX = 投下された怪しげな PE型ファイル
※AUX は固定ではなく、 AUX1～AUX9までの値にインジェクションされることもある。

以下のレジストリを改変
HKLM\System\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations = SHA-1の変な数値
技術情報: 以前のインストールの再起動が保留されている
たぶん・・・Windows Updateの阻害（この数値が設定されている間は、以前のWindows Updateが失敗したものとみなされる）

ファイル sqlsobdc.chmを書き換え（改竄）
C:\WINDOWS\system32\sqlsodbc.chm
※ひょっとしてキーロガーのデータ集積地？

u.batの実行　CMD.EXEをフックする
u.batはペイロードを投下した後のUPX本体、及びテンポラリフォルダを消す
u.bat本体を消す（プロセスを完了しないまま・苦笑）
※場合によっては CMD.EXEをフックしたままになってしまい、DOSプロンプトを開けなくなる

-----------------------------------
AUXに埋め込まれた PE型の挙動

まだ不明なのです（苦笑）

ただ、不確定情報で以下のような症状が報告されていることから、ある程度類推は出来ます。

特定のサイトに接続できなくなる
＞Internet Explorerのフック

特定の駆除ソフト、ログ取得ソフトがブロックされる
＞デバッガ・タイプのプログラムの実行の阻害

レジストリエディタが起動しない（リネームすることにより回避可能）
＞cmd.exeのフック

挙動的に、コレ
Backdoor.Agent.B
に近いものがあるような気もしますね

徐々にではありますが、検出できるベンダーが増えてきました
bgrn.mym MD5:e3110fefd25d7d7b512dfb1352477865

検出できてないけど、詳細が Kasperskyのほうに載っています(同じモノかどうかは？）
Trojan-PSW.Win32.Delf.d
The Trojan harvests data from the victim machine. It performs the following actions:
* makes screenshots;
* logs keystrokes;
* tracks mouse movement.
The Trojan checks for a connection to the Internet. It will use a connection to send harvested data to the remote malicious user's FTP server.
やっぱキーロガーか・・・・＋スクリーンショット抜き取りとかヤバスギ（泣）
ただ、サイズがかなり違うので、ヒューリスティック的にコレと同じ挙動を検知、報告した可能性も有ります。

-----------------------------------
とにかく、一番恐ろしいのはキーロガーだと思います。

キーロガー対策は、感染していない人でも、一度チェックしてみることをお奨めします。

※スクリーンショットを抜かれるのも、絶対イヤだとおもいますけどね（笑）


-----------------------------------
追加
激辛ホットソース・デスソースを激安販売！WDSC
hxxp://death-sauce.jp/
の管理人さんのBlogに、今回の事故の詳報が記載されています。

公式サイト接続障害に於ける状況報告につきまして

コンプライアンス的には、かなり高得点だと思いますネ
早く復旧できますように

-----------------------------------
追記２
「まだ解析が完了していない」
は語弊があると指摘を受けましたので
「解析しようにも、散布されるファイルがコロコロ変わって解析できない」
というのが正しいです。

散布元が変更された例も報告されているようですので、注意が必要です。