UnderForge of Lack

今日はこんなものでお許しを



そろそろ、焼却炉の整理をせねば・・
時間が作れないですけどね

つい一週間ほど前にも書いた気がしますが・・・


Fake Videos Lead to Fake Flash Player
偽のビデオ動画を踏ませて悪意リンクへ導くやり方は、他の方法と比べて格段にマルウェア踏破率（笑）が高いのは事実です。

現時点で挙がっている Fake Flash Player は

09/05/23 addobeflashplayer.com 85.14.6.159
Colocation Clients Bulgaria : 85.14.6.0 - 85.14.6.255

09/05/23 addobeflashplayer.com 212.47.211.166
Starline Web Services Estonia : 212.47.211.128 - 212.47.211.255

09/05/23 addobeflashplayer.net : 208.69.36.132(opendns.com)

.netのほうは opendns.com に吸い込まれましたので、現在は遮断されているのかもしれません。


----------
windownloading.com

64.111.196.206

現在は、こっちに移動している模様：
194.165.4.77

あ～れ～？
NTColo Networks Ukraine : 194.165.4.0/23 (194.165.4.0 - 194.165.5.255)

まぁ結局のトコ、悪事を持続できるホスティング環境はそうそう存在しないってことですね（苦笑）


----------
xmovies-host.com

91.212.132.12

ここは 91.212.132.10-91.212.132.12 までの範囲でいろいろ悪さをしています。

ちなみに、91.212.132.12で見つかる ドメイン名・・・・
free-antivirus-engine.com
free-porn-xmovies.com
free-xtube.com
fresh-xxx-movies.com
hot-porn-tubes.com
my-porn-archive.com
porn-tubes-world.com
secure-center-antivirus.com
youporn-for-free.com
antiviruses-for-all.com

「えっち」なのか「あんちういるす」なのかはっきりしてください
※日本的にはどちらも AV って説もありますがネ！

----------

今回はちょっと旗色の悪かった TrendMicro ですが、 Blogのほうでは「よくわからない連載」がようやく終わりました。
Pushdo/Cutwail – Traditional AV is Useless (Part 5 of 5)

えと、
結局 TrendMicroの Smart Protection入れろって話だったんですか？
でもねぇ・・・ Gumblaroid の一件があるのに、今こういう話しても説得力無いと思いますケドネ。


Pushdo に関しては
ヌード画像で釣ろうとするトロイの木馬「Pushdo」--フォーティネット -- 2008.04
という旧態依然のBotnetです。

Win32/Cutwail.M -- 2007.04

Cutwail.dll.gen!D9F27F40


現時点で特筆されるほど、活動が活発化しているようには思えないのですが、注意喚起ということで・・

あ～～～またこの話が連続してしまってる・・・
ま、旬なので（多少、薹が立ってますが）しょうがないかな？


今回の Gamblaroid 本体の解析ですが、最初に解析を出したのは ScanSafeでした。

Malware Manipulating Google SERPs -- 04/17/2009
このとき既に、
the malware is its ability to monitor traffic and steal FTP credentials
トラフィックをモニタし、FTP情報を盗む
となっています。

ここでいう、 trafficというのが具体的に何を指しているのか、あまり深く考えていなかったのですが


「感染すると、さまざまな被害に」――最新Webウイルスを徹底解説
原文：
Inside the Massive Gumblar Attack

FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない。感染パソコンが接続しているネットワーク（サブネット）が対象となる。ウイルスは、ネットワークを流れるデータを収集するソフトを特定のサイトからダウンロードしてインストール。そのソフトを使ってネットワークを流れるデータを監視し、FTPアカウントと思われるデータを記録する。

As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.

An entry is made in the registry for winpcap: HKLM\SOFTWARE\WinPcap

え？
ちょっと待った

と、思った人も多いはずです。
こうなると話がかなり変わってきます。

今、出向中の身なので、まさか VM 入れて感染状態をつくるわけにもいかないわけですが（笑）
友人の環境下（わざわざ環境再構築してもらいました・感謝）では、このキーの登録は確認できませんでした。

となると、この人はいったい何（いつ、どこから落ちてきたバージョン）の解析をしているんだろう？とかなり疑問になるわけです。


まぁ、ウチも個人ですし、この人も個人のラボっぽいので、
どこまで何を信じるかは、捉えた人次第ということにしておきましょう。


------------
ノートン大先生の解析結果：

Infostealer.Daonol
危険度 1: ほとんど影響なし

影響ないのかぁ・・


--------------
そういえば、今回の一連の騒ぎの最中、もっとも静かだった TrendMicroですが

Gumblar Finds Successor, Continues Info Stealing Spree
なんかもう、自分たちも検出してたんだぜ！　みたいなこと言わなくてもねぇ・・
しかも、本体の解析はおろか、検出名すら出してないって・・・

この辺は、シグネチャベースを重視しているセキュ・ベンダーの悲しいところですね。

埋め込み JavaScriptの検出だけでも・・
JS_AGENT.ASWE　JS_AGENT.ASXB　JS_AGENT.ASYC　JS_AGENT.ASWF
JS_AGENT.ASXC　JS_AGENT.ASYD　JS_AGENT.ASWG　JS_AGENT.ASXD
JS_AGENT.ASYE　JS_AGENT.ASWH　JS_AGENT.ASXE　JS_AGENT.ASYG
JS_AGENT.ASWI　JS_AGENT.ASXF　JS_AGENT.ASYH　JS_AGENT.ASWO
JS_AGENT.ASXG　JS_AGENT.ASYL　JS_AGENT.ASWP　JS_AGENT.ASXI
JS_AGENT.ASYM　JS_AGENT.ASWQ　JS_AGENT.ASXK　JS_AGENT.ASYN
JS_AGENT.ASWR　JS_AGENT.ASXL　JS_AGENT.ASYO　JS_AGENT.ASWS
JS_AGENT.ASXN　JS_AGENT.ASYP　JS_AGENT.ASWT　JS_AGENT.ASXR
JS_AGENT.ASYQ　JS_AGENT.ASWV　JS_AGENT.ASXS　JS_AGENT.ASYR
JS_AGENT.ASWX　JS_AGENT.ASXT　JS_AGENT.ASYS　JS_AGENT.ASWY
JS_AGENT.ASXU　JS_AGENT.ASXA　JS_AGENT.ASXX
こんな感じだったらしいです・・・・

Signature Spammerですか？（苦笑）

--------------
余談：
zolkon って何ですか？ってメールが来たんですが、何かの符丁かと思ったらコレだった・・
被害が多発する「Gumblarウイルス」への対策を実施しよう

なんというか、隣に zlkon.lvって書いてるのは何？って感じですね（苦笑）


余談ついでに・・・
E-Wordsに項目ができていました（笑）
Gumblar　【GENOウイルス】

眠い（いきなり）
出張（というか出向）に入ってから、寝てはいるものの脳が活性化されずに困っています。


zlkon/gumblar/martuz/Geno(笑) 方面はとりあえずは落ち着いてきた様子ですが、落ち着いてくると今度は妙なデマやら流言が出回るようになりました。

何度かまとめたような気がしますが、オサライしてみました。

一応過去形のほうがいいかな？とはおもいましたが、まだ感染サイトが残っていますので「現在形」にしておきます
※引用するときは必ず日付もつけて引用してください（苦笑）


どうして感染するの？
感染してしまっているサイトを見ただけで感染します

具体的には、Adobe Acrobat Readerおよび Adobe Flash Player の脆弱性を悪用し、ユーザが気がつかないうちに不正なマルウェアをインストールさせられてしまいます。この際に、DEPがONになっていても警告窓は出なかったようです(VMware+XPで確認してくれた友人・談）


どうして自分のWEBが書き換えられるの？
あなたのパスワードが盗まれているからです。

具体的な窃取の方法はよくわかっていません（各社の解析結果がマチマチな為）、わかっている事は、あなたのPCから発行された FTP リクエストの IDとPassword(credentials)が、全く身に覚えのないIPから使用され、不正な悪意コードを注入（Injection)されていることです。
※詳細は別エントリで


感染したらどうなるの？
完全な挙動はまだわかっていません。
仮にわかったとしても、それは何時の亜種のものなのか？という問題もあります。

自分が(VM上で）感染してみて思ったのは
「感染したらマトモニPCは使えません」
ということでした（笑）
具体的には・・・

BSoD多発

アプリケーションがすぐフリーズ（挙動をみていると、すべてのタスクが一斉にsqlsodbc.chmを読みに逝ってしまうため）
トラフィックが異常に増える（何を送られているやら・・）
ブラウザがどんどん妙な挙動を始める（Embedタグが存在しないのに、html Error Embed src not foundとかがエラーログに山のように・・）

これだけ妙な状況下で平気で動作させている人がいたら往年のMacユーザからも尊敬を受けるでしょう（笑）


感染したら絶対にクリーンインストールしないとダメ？
ダメってことは無いでしょうけど・・
Drivers32に登録されたトロイ本体を潰して、sqlsodbc.chmを書き戻して、それで心の平穏が得られるなら、それでもいいのではないでしょうか？

自分だったら絶対イヤですけどね～


Vistaは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
自分が VM上に Vistaをインストールしてやってみた感じでは、そもそも感染できないのでは？という挙動でした。


MacOSは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
Windows用の PE(実行型ファイル）が MacOS上で駆動する方法を教えてほしいものです

※BootCamp 上の XP/2000 環境下には思いっきり感染します（笑）


Linuxは絶対に平気？
Infostealer.Daonolこのへん見て自分で考えてくださいよ～（嘆息）
そもそも、UPXってLinux環境下で動作するもんなんですかね？

※ていうか最近、Linux入れてる癖にセキュに疎い人多くないですか？


PCの感染状態を放置してても平気？
平気なわけないでしょうに・・・・
挙動がまだ完全にわかってないので、可能な限り早く駆除してください。

悪意ファイルのダウンロード元である 94.247.2.195 (hs.2-195.zlkon.lv)、gumblar.cn (94.229.65.172)、martuz.cn (95.129.145.58) は応答停止中です
。
これらは、いつ再開しても不思議ではありませんが、現時点では稼動していません。


Webの感染状態を放置してても平気？
訴訟されたいなら、放置しててもいいんじゃないですか？（笑）


３月末の段階で Flash/Acrobatを最新にしていた人は絶対に大丈夫だったの？
自分で .exe を踏まない限り大丈夫です。
少なくとも、 Acrobat Reader の 3月末のバージョンでは JBIG2でのエラーでもクラッシュしません。


今後はどうなるの？
今回の一件で得られた教訓としては
「セキュリティソフトを過信してはいけない」
ということでしょう。

少なくともセキュリティソフトがきちんと入っているにもかかわらず、それを完全にかいくぐって侵入しFTP情報を抜かれている人の例を目の当たりにすることになりました。

こうした事態に陥ったとき、必要なものは冷静な対処と、正確な情報であるということが改めて浮き彫りにされたということでしょう。

自分が最初にやったこと：
　CMS/海外BBS/ISPその他のパスワード変更（笑）



余談：

人間には大丈夫なの？
IRC経由で回ってきた本気の質問でした・・
私はなんて答えればいいのでしょう・・