UnderForge of Lack

ポツポツと質問が舞い込んでくるようになりました。

普段のIRCでは
「しらんわｗ」
みたいな地の対応をしてるんですが、ちょっと真面目に・・・

といっても、Botnetを本当に構成しているのかどうかは未確定ですので、落ち着いて行動してくださいますようお願いします。

----------
Botnet

これじゃよくわかりませんよね

ボットとは？

総務省のサイトに書いてあるボットは、いわいる旧来のタイプで、DDoSを行うことを主目的としていました。

----------
しかし、ここ最近は様相が変わってきています。
Black Hat SEO
という用語があります。

SEO～サーチエンジン最適化～の旧来的な手法は SEO SPAM と呼ばれるクエリの大量発行でした。当然ながら、単独あるいは一群のIPからの発行クエリが集中していることをサーチエンジン側が感知すると、SEO SPAM として順位を落とされてしまうようになり、すぐに廃れてしまいました。しかし、不特定多数の広範なIP群から一斉に検索クエリが発行されればどうなるでしょう？
FaceBookフィッシングの際に悪用された BLACK HAT SEOの例
まさにこうしたことが可能になってしまいます。

----------
少し前の zlkon では、この応用（より悪用）として BLACK SEO SERP(Search Engine Result Page) と呼ばれる 検索結果改ざんの手法を使用していたと見られています（Malware Manipulating Google SERPs参照）。感染したシステムは「何を検索しても」マルウェアによって「定義された」検索結果を返すようになり、不審に思いつつもその検索結果をクリックしてしまうようになったと解析されています。
また、感染したサイトは自分の登録しているサーチエンジンに対して頻繁に PING を撃つようになり、（心ならずも）検索結果が上昇するという皮肉な結果になっていました（そのことによって、さらに感染者を増やす結果になってしまいましたが・・・・・・）。

さて、問題の gumblarですが、これは更に C&C(Command & Control : BotのPuppet Masterからの命令受諾) 能力を持つようになったとScanSafeが指摘しています（参照：Google SERPs Redirections Turn to Bots）。zlkon型では陥落した後、ID/PAssword の送信や、SEO SPAM 発行などの「定型業務」は行っていたものの、BOT Master側の指示を受けるのかどうかは「？」でした。少なくとも、当初の解析結果や、ビヘイビア・チェックでもそのような報告はありませんでした。もっとも、単に解析が不十分だった可能性もあります。

そして Gumblar によって散布された Malwareは IRCもしくはそれに類するものによるコマンド待機を行っていることが確認されたため、感染PCは、BOT C&Cの 命令に従ってしまう可能性があります。最悪のケースとしては、PCがBOT C&C を受け自動的にマルウェアを定期的にアップデートし、待機IPを変更し、場合によっては RootKitを勝手にインストールしてしまうかもしれません。また、現在の主流となっている P2P クロス待ち受け型 C&C を使用されたら、手がつけられなくなります（参考：The DOWNAD/Conficker Jigsaw Puzzle）。

そんなPCは、もう自分のものではなく BOT 傀儡師の意に従って動いているゾンビです。

----------
今回はまだ ScanSafeの解析と、 ThreatExpertのビヘイビアチェックのみの報告ですので、大手セキュベンダーの解析を待ちたいのですが、もし本当にそんなタチの悪いものだった場合、パニックに陥らないために早めに予防策を取っておきましょう。

Adobe Flash Player のアップデート
Adobe Acrobat Reader のアップデート
NoScriptの導入（Firefoxの導入も含めて）
危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）
Adobe Acrobat Readerの
JavaScript OFF

----------
参考：
Pakes.kmm
以前発見された "78.109.29.112:2111"を C&C とするボットネットの散布ファイル

digiwet.dll
78.109.29.112:2111 BotNet の散布ファイル（と思われる）

Web site compromised?
2009.05.01 Google に寄せられた挙動解析・・・ Anubis のものと一致する点が多い

念を押しておきますが、あくまでも類推に過ぎません。

----------
参考２：Botnetwork
What a Botnet Looks Like
Botnetがどんなつながりを持っているのか、個人が追跡調査した結果・・・

恐ろしい

---------
ひとりごと：

ヨシ、赤い部分が無かった（笑）

友人から電話があって一言

「ところで、blog が赤くなったね」

・・・・・・ orz

好きでそうしてるんじゃないやい！
ブロックとか感染とかそんなのばっかで、必然的に赤くなってるだけなんだ～


楽しいニュース無いですか？

見たくなかった・・・

gumblar.exe -- ThreatExpert

A malicious backdoor trojan that runs in the background and allows remote access to the compromised system

悪意のあるバックドア型トロイは、バックグラウンドで駆動し、陥落したシステムをリモートからアクセスできるようになります。


どうやらほんとに Botnet っぽいですね・・・感染してしまった人には最悪の結果になってしまいそうです。

----------
とりあえずは・・・・

先刻塞いだ、Botnet C&C IP(BotNet コマンド＆コントローラ) を閉鎖してください
これは最優先事項です。

あまりにも危険なので、事大主義的な封鎖範囲：
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)

----------
次に XP / 2000 の方は sqlsodbc.chm をチェックしてください。

Windows XP:
改ざんされていなければ、下記のはずです。
C:\WINDOWS\system32\sqlsodbc.chm
50,727 bytes
MD5:F639AFDE02547603A3D3930EE4BF8C12

Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認
（C:\WINNT\system32\sqlsodbc.hlp は存在する）
C:\WINDOWS\system32\sqlsodbc.hlp
17,148 bytes
MD5:3177C8154F1011535FDD1B1B30D3D2E9

ごめんなさい
Server2003に関してはわかりません。

MD5(ハッシュ)は、FastHashあたりを使用してください。

追記：
FastHashは、ちょっと初心者の方には使いにくいですので
gumblar.cn感染をチェックする（MD5取得方法紹介 by 高機能サロン管理システム★さまれぼ！★開発日記さま
の記事を参照してください。
キャプ入りで判りやすく解説してあります。感謝です m(_ _)m

----------
sqlsodbc.chm が怪しい場合には、以下のレジストリをチェックしてください。

注意：レジストリ操作はWindowsの知識が無いとシステムに致命的なダメージを与える可能性があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

aux, aux1, aux2... aux9 もしくは midi, midi1 などの設定に見慣れないファイルが設定されていないかどうか？



普通は .dll もしくは .drv のはずです。

感染している例：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 : aux = kft.blc


----------
以上２点を満たす場合、残念ながらウィルスに感染している可能性が高いです。

まず、LANケーブルを引っこ抜いてください！
笑い事ではなく、物理的にインターネットから切り離してください。

このへんを見ながら回復を図ってもよいのですが、はっきりいって不毛です。（回復した後も、本当に安全かどうか疑心暗鬼になってしまうため）

バックアップを取った後、必要なhtml, php, js を "unescape" で grep し、悪意コードの痕跡を消し去り、OSをクリーンインストールしたほうが無難です。

一応 MalwareBytes でも削除できたという報告はありますが、私は確認していません。

----------
尚当然ながら、旧zlkon感染者もBotNetに屈していた可能性があり、バックドアが生きていない保障はどこにもありません。
※Process Explorerを使って不審なプロセスを調べることも可能ですが、svchost の知識が必要になります。


ずつう（変換できない）の種が増えた・・