UnderForge of Lack

眠い（いきなり）
出張（というか出向）に入ってから、寝てはいるものの脳が活性化されずに困っています。


zlkon/gumblar/martuz/Geno(笑) 方面はとりあえずは落ち着いてきた様子ですが、落ち着いてくると今度は妙なデマやら流言が出回るようになりました。

何度かまとめたような気がしますが、オサライしてみました。

一応過去形のほうがいいかな？とはおもいましたが、まだ感染サイトが残っていますので「現在形」にしておきます
※引用するときは必ず日付もつけて引用してください（苦笑）


どうして感染するの？
感染してしまっているサイトを見ただけで感染します

具体的には、Adobe Acrobat Readerおよび Adobe Flash Player の脆弱性を悪用し、ユーザが気がつかないうちに不正なマルウェアをインストールさせられてしまいます。この際に、DEPがONになっていても警告窓は出なかったようです(VMware+XPで確認してくれた友人・談）


どうして自分のWEBが書き換えられるの？
あなたのパスワードが盗まれているからです。

具体的な窃取の方法はよくわかっていません（各社の解析結果がマチマチな為）、わかっている事は、あなたのPCから発行された FTP リクエストの IDとPassword(credentials)が、全く身に覚えのないIPから使用され、不正な悪意コードを注入（Injection)されていることです。
※詳細は別エントリで


感染したらどうなるの？
完全な挙動はまだわかっていません。
仮にわかったとしても、それは何時の亜種のものなのか？という問題もあります。

自分が(VM上で）感染してみて思ったのは
「感染したらマトモニPCは使えません」
ということでした（笑）
具体的には・・・

BSoD多発

アプリケーションがすぐフリーズ（挙動をみていると、すべてのタスクが一斉にsqlsodbc.chmを読みに逝ってしまうため）
トラフィックが異常に増える（何を送られているやら・・）
ブラウザがどんどん妙な挙動を始める（Embedタグが存在しないのに、html Error Embed src not foundとかがエラーログに山のように・・）

これだけ妙な状況下で平気で動作させている人がいたら往年のMacユーザからも尊敬を受けるでしょう（笑）


感染したら絶対にクリーンインストールしないとダメ？
ダメってことは無いでしょうけど・・
Drivers32に登録されたトロイ本体を潰して、sqlsodbc.chmを書き戻して、それで心の平穏が得られるなら、それでもいいのではないでしょうか？

自分だったら絶対イヤですけどね～


Vistaは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
自分が VM上に Vistaをインストールしてやってみた感じでは、そもそも感染できないのでは？という挙動でした。


MacOSは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
Windows用の PE(実行型ファイル）が MacOS上で駆動する方法を教えてほしいものです

※BootCamp 上の XP/2000 環境下には思いっきり感染します（笑）


Linuxは絶対に平気？
Infostealer.Daonolこのへん見て自分で考えてくださいよ～（嘆息）
そもそも、UPXってLinux環境下で動作するもんなんですかね？

※ていうか最近、Linux入れてる癖にセキュに疎い人多くないですか？


PCの感染状態を放置してても平気？
平気なわけないでしょうに・・・・
挙動がまだ完全にわかってないので、可能な限り早く駆除してください。

悪意ファイルのダウンロード元である 94.247.2.195 (hs.2-195.zlkon.lv)、gumblar.cn (94.229.65.172)、martuz.cn (95.129.145.58) は応答停止中です
。
これらは、いつ再開しても不思議ではありませんが、現時点では稼動していません。


Webの感染状態を放置してても平気？
訴訟されたいなら、放置しててもいいんじゃないですか？（笑）


３月末の段階で Flash/Acrobatを最新にしていた人は絶対に大丈夫だったの？
自分で .exe を踏まない限り大丈夫です。
少なくとも、 Acrobat Reader の 3月末のバージョンでは JBIG2でのエラーでもクラッシュしません。


今後はどうなるの？
今回の一件で得られた教訓としては
「セキュリティソフトを過信してはいけない」
ということでしょう。

少なくともセキュリティソフトがきちんと入っているにもかかわらず、それを完全にかいくぐって侵入しFTP情報を抜かれている人の例を目の当たりにすることになりました。

こうした事態に陥ったとき、必要なものは冷静な対処と、正確な情報であるということが改めて浮き彫りにされたということでしょう。

自分が最初にやったこと：
　CMS/海外BBS/ISPその他のパスワード変更（笑）



余談：

人間には大丈夫なの？
IRC経由で回ってきた本気の質問でした・・
私はなんて答えればいいのでしょう・・

This entry was posted on 日曜日, 5 月 24th, 2009 at 9:36 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.