UnderForge of Lack

GENo・・じゃなかった Zlkonウィルスに「感染した」状態からの復旧ってどうすればいいの？

って質問が舞い込んで来ましたが
実際のトコ、「まだ解析が完了してない」のでどうすればいいのかは不明です。

判ってる範囲でよければ・・・・・

レジストリ
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 をチェックし、
見慣れないファイル名 （.drv, .dll 以外）が設定されている場合は、そのファイルの出所を確認する
bgrn.mym　bpagokx.nmy　cqe.rgg のような変なファイルが設定されている場合は感染しています。
まず、そのファイルの削除
該当するレジストリキーも削除し、リカバリする

レジストリ
HKLM\System\CurrentControlSet\Control\Session Manager をチェックし、
PendingFileRenameOperations　の数値が変更されている (0以外)は、0にする

ファイル：sqlsodbc.chm (Win XPの場合)
C:\WINDOWS\system32\sqlsodbc.chm のファイルサイズ、ハッシュを確認
改竄前 (WinXP SP3) : 50,727 bytes　MD5:F639AFDE02547603A3D3930EE4BF8C12
これと違った場合、一度消してリカバリ（修復インストール）をかける

ファイル：sqlsodbc.chm (Win 2kの場合)
そもそも存在しないファイルなので消す

Rootkitの検出・削除
McAfee Rootkit Detective Beta
を使って Rootkitを検出、削除する。

Malwarebytes' Anti-Malware を使ってMalwareの消去を図る
Malwarebytes' Anti-Malware

キーロガーが検出されないことを確認する
KL-Detector v1.3
を使って、キーストロークに対して不正プロセスが動作していないことを確認する。
キーロガー専用対策ツール「KL-Detector」 -- All about


・・・・・・・
もうお分かりですよね？

感染が確認された時点で、バックアップとってクリーンインストールしたほうが（恐らく）時間的ロスが少ないと思います。（苦笑）

-----------------------------------
現在判っている感染プロセスは３つ


1) swfのスタックオーバーフローを利用したマルウェア実行

2) pdfのJavaScript脆弱性を悪用したリモートコード実行

3) 直接 PE型マルウェア埋め込み（死）


たぶん 1/2 の感染プロセスによって実行されるのは 3のPE型と同じだとは思うのですが、確証はありません。

（1/2の段階でリモートコード実行が行われなかった場合、単にクラッシュしただけで終りです）

-----------------------------------
ダウンロードされた PE型の挙動

ここを見ればわかるのですが・・・・
Analysis Report for 8lv.exe

レジュメとしては

ファイル作成
UPX（複合型の実行ファイル群）を展開し、テンポラリフォルダから任意の場所にペイロードを投下

以下のレジストリを改変
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
AUX = 投下された怪しげな PE型ファイル
※AUX は固定ではなく、 AUX1～AUX9までの値にインジェクションされることもある。

以下のレジストリを改変
HKLM\System\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations = SHA-1の変な数値
技術情報: 以前のインストールの再起動が保留されている
たぶん・・・Windows Updateの阻害（この数値が設定されている間は、以前のWindows Updateが失敗したものとみなされる）

ファイル sqlsobdc.chmを書き換え（改竄）
C:\WINDOWS\system32\sqlsodbc.chm
※ひょっとしてキーロガーのデータ集積地？

u.batの実行　CMD.EXEをフックする
u.batはペイロードを投下した後のUPX本体、及びテンポラリフォルダを消す
u.bat本体を消す（プロセスを完了しないまま・苦笑）
※場合によっては CMD.EXEをフックしたままになってしまい、DOSプロンプトを開けなくなる

-----------------------------------
AUXに埋め込まれた PE型の挙動

まだ不明なのです（苦笑）

ただ、不確定情報で以下のような症状が報告されていることから、ある程度類推は出来ます。

特定のサイトに接続できなくなる
＞Internet Explorerのフック

特定の駆除ソフト、ログ取得ソフトがブロックされる
＞デバッガ・タイプのプログラムの実行の阻害

レジストリエディタが起動しない（リネームすることにより回避可能）
＞cmd.exeのフック

挙動的に、コレ
Backdoor.Agent.B
に近いものがあるような気もしますね

徐々にではありますが、検出できるベンダーが増えてきました
bgrn.mym MD5:e3110fefd25d7d7b512dfb1352477865

検出できてないけど、詳細が Kasperskyのほうに載っています(同じモノかどうかは？）
Trojan-PSW.Win32.Delf.d
The Trojan harvests data from the victim machine. It performs the following actions:
* makes screenshots;
* logs keystrokes;
* tracks mouse movement.
The Trojan checks for a connection to the Internet. It will use a connection to send harvested data to the remote malicious user's FTP server.
やっぱキーロガーか・・・・＋スクリーンショット抜き取りとかヤバスギ（泣）
ただ、サイズがかなり違うので、ヒューリスティック的にコレと同じ挙動を検知、報告した可能性も有ります。

-----------------------------------
とにかく、一番恐ろしいのはキーロガーだと思います。

キーロガー対策は、感染していない人でも、一度チェックしてみることをお奨めします。

※スクリーンショットを抜かれるのも、絶対イヤだとおもいますけどね（笑）


-----------------------------------
追加
激辛ホットソース・デスソースを激安販売！WDSC
hxxp://death-sauce.jp/
の管理人さんのBlogに、今回の事故の詳報が記載されています。

公式サイト接続障害に於ける状況報告につきまして

コンプライアンス的には、かなり高得点だと思いますネ
早く復旧できますように

-----------------------------------
追記２
「まだ解析が完了していない」
は語弊があると指摘を受けましたので
「解析しようにも、散布されるファイルがコロコロ変わって解析できない」
というのが正しいです。

散布元が変更された例も報告されているようですので、注意が必要です。

This entry was posted on 火曜日, 4 月 14th, 2009 at 12:15 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.