UnderForge of Lack

独立Articleを作っておきます。
ついでに、毎回同じようなことを書いている部分も独立させておきます。

2010.01.03 修正
2010.01.02 書初め

不幸にも

こんな画面が現れてしまった人


方針としてPC（特にプロセスとレジストリ）に明るくない方は、詳しい人を捕まえるか、信頼できる修理屋さんに持ち込んだほうが無難です。

以下は明るいものとして続けます。

Kill Processes
不審なプロセスを殺します。

セーフモードでの起動が阻害される（というか SafeBoot関連の全レジストリが削除されているケースもあります）ため、セーフモードでの修復はあきらめました。

rkill.comを使用する方法では、
Security Toolに感染・駆除成功(多分)
　「rkill」を何とかダウンロードして起動させる→腱鞘炎になるくらいダブルクリックを続けていると　「SecurityTool」が弱ってくる(出現率が少なくなってくる)
（苦笑）
しかし、有効な方法のようですので、根気良くがんばってください。

タスクマネージャを使うなら、強引に起動しなければなりません。
根気よく CTRL+ALT+DELを押し続けると起動できるようです（笑）
また、一見ブルースクリーンに見えて、実際には青い板を１枚張っているだけのケースもありますので、押し続けると起動するケースもあるようです。

根気の無い（私もありません）人は
セキュリティーソフトを装ったウイルス -- 本虫の雑記帳
①下記のリンクから「Process Explorer」というプログラムをダウンロードします。
http://live.sysinternals.com/procexp.exe
※.exe 直リンクに付き注意
③「procexp.exe」の名前を「explorer.exe」に変更して実行します。「procexp.exe」のままでは実行できませんでした。おそらく「Security Tool」にブロックされているのではないかと思われます。
上記の方法で、ProcExpを強引に起動します。

起動しているプロセスのうち、見覚えの無いもの、生成先のPE型の日付が新しいものを片っ端から殺していきます。
KILLする際には Kill Process Treeを選び、連携を断ちます。
子プロセスの呼び出しが定期的に行われている場合、呼び出し元の svhost.exeを探し、慎重に親プロセスを確認した後殺してください。
※正規のsvhost.exeプロセスを殺すとハングアップします。
ProcessExplorerでの監視をしばらく行い、不審なプロセスがなくなったことを確認します。

Registries
不審なレジストリを削除し、整合をとります。

が・・・今回のケースは自動でのレジストリ復旧はかなり難しいかもしれません：
Rootkit [Ikarus]
MD5:EE020CD45EEE22AB0A6A5BEB4584D3F8
※当然ですが亜種が多数存在します。

これを手動で全部修復するのは、かなり骨が折れそうです。

一応、MalwareByte'sでの修復後、表面上は復旧しているように見えるようです。
Malwarebytes' Anti-Malware
ダウンロード(CNET):
Welcome Malwarebytes Anti-Malware users
直接ダウンロード（注意：バージョンが上がったとき古いままの可能性があります）
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
※.exe 直リンクに付き注意

いずれにせよ、正常に起動させる必要がありますので、まずは Malwarebytes による復旧を図ってください。

復旧後、必要なファイルのバックアップを行い、必要ファイルをバックアップし、システムをリカバリ（クリーンインストール）することをお勧めしておきます。
これは、ほんとうに駆除できたかどうか、疑心暗鬼に陥らないためにも必要な措置だと考えています。

尚、MalwareByteで完全に駆除できるのかどうか確信がないのですが、埋め込みデバイスに "npf.sys" (MD5:0xD687BB15CD0994D1C816E99818213BF2) が含まれているのが非常に気持ち悪いです。これは、WinPcap で、WireSharkでも使用されているLANタッパ（盗聴）用ドライバです。
亜種が多いため断言はできませんが、これが１台でも機能しているネットワーク内では、その全てのパケットが監視され、平文でおくられた FTP/telnet のCredentialが漏洩する危険性があります。

After
システムが修復された後、何をしなければならないのか？

この先は Gumblarなどの他のインジェクションと同じですので、Articleを分割します。

サイトを管理している方は
インシデント発生： THE FIRST STEPを参照してください。

サイトを管理していない方は
インシデントからの回復を参照してください。

---------------------
その他資料：

(高確率で)感染経路：
8080系(現在は更に変化）インジェクションによる drive-by-download攻撃

参照：
ラジオ関西「アニたまどっとコム」、新手の改ざんでウイルス感染のおそれ
ちなみに編集部が取得した検体の場合には、Windowsの「スタートアップ」に「siszyd32.exe」を登録するのが特徴的だった。もしこれが登録されていたら、感染の可能性は極めて高い。

早くも変更：
SecurityTool -- パソコンのサポートやってます
“プロセス”タブにある『54353929.exe』『_ex-08.exe』『~TM119.exe』の三つが怪しいのでプロセスを停止、レジストリエディタを起動してこの三つが含まれる値を全て削除。SecurityToolは\All Users\Application Data内に『54353929』というフォルダが出来ているのでリネームして再起動。

BleepingComputerの削除手順
Remove Security Tool and SecurityTool (Uninstall Guide)
rkill.comとMalware Byteを使用する方法

相当てこずる様子：
I finaly uninstalled Security Tool / Security Toolをやっと削除♪

TrendMicroがまったく感知していない例；
[仕事][PC]駆除まで８時間。

シグネチャ：
TROJ_FAKEAV.MET

悲鳴が洪水と化しています：
search: "security tool"

----------
EoF

初夢
書き初め
仕事始め (初荷)
初売り
姫始め (下ネタ禁止と怒られ・・・)

箱根駅伝往路 ５区すごかったですね～
皇室一般参賀

----------
初謝り
「Ameba」オフィシャルブログ、不正アクセス被害について
株式会社サイバーエージェントが運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。
また同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。
？

「アメブロ」で芸能人パスワード大量流出　不正アクセスも
流出したデータは、芸能人ブログのＩＤやパスワードなど約４５０件を記述したエクセルファイル。ネット上に書き込まれた情報によると１日午前１時ごろ、タレントの藤本美貴さん（２４）のブログに「お年玉」と題された画像が現れ、それをクリックすると、エクセルファイルが見られる状態になっていたという。
はぃ？

「Ameba」オフィシャルブログ、不正アクセス被害
要するにアレだ、パスワードをExcelファイルで管理する下地があったということですね。
しかもアカウントを複数の人間がアクセス、使いまわししていた可能性があると？

RAMPAGE!

ということで、Ameba Blog にアカウントをお持ちの方は、今すぐ（光速で）パスワードの変更を行ってください。
同時に同じパスワードを使用している別のアカウントも変更することをお奨めします。

まぁ、芸能人？のブログが売りのとこって、そんなもんなのかもしれませんね。

----------
SpamAssassin under the curse of Y2K
SpamAssassinを適用している方、SPAM判定の迷惑フォルダ内を注視してください。
Having Spamassassin Problems?
I thought we fixed all of these problems ten years ago when we went through the Y2K transition. Apparently not.
2000年問題の亡霊ですか・・・

SpamAssassin 2010 Bug
SpamAssassin 2010 bug -- Mike Cardwell | Blog
Last night I noticed that a legitimate email had a particularly high spam score.

現在bugfixが進行中です
FH_DATE_PAST_20XX scores on all mails dated 2010 or later.
status: RESOLVED FIXED

bugged:
----
header FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
----

FIXED:
----
# grep FH_DATE_PAST_20XX
/var/lib/spamassassin/3.002005/updates_spamassassin_org/72_active.cf
##{ FH_DATE_PAST_20XX
header FH_DATE_PAST_20XX Date =~ /20[2-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
##} FH_DATE_PAST_20XX
----

とりあえずの対策：
SpamAssassin Rule: FH_DATE_PAST_20XX
If you need to disable this test, place the following in your local.cf file:

score FH_DATE_PAST_20XX 0.0

----------
SSH炉
Dealing With Unwanted SSH Bruteforcing

SSH辞書攻撃のブラックリストってのは、初めて知りました。
sshbl.org - (the SSH blacklist)
http://www.sshbl.org/list.txt

でもちょっと待ってください。
どこからでもSSHにアクセスできる環境のほうが変です。
TCP-Wrapperによって、アクセス制限を掛けるほうが無難だと思うのですが・・・

----------
New Year炉
燃しましておめでとうございます：
koobface, fastflux, scareware domains to block
Sources: atlas.arbor.net, ddanchev.blogspot.com, safebrowsing.clients.google.com, www.malwaredomainlist.com and others:

DNS-BHさんもがんばってます。

----------
No Thanks Waledac
It's almost 2010, yearly round of new year related malware is going on.
Waldec spreading through fake New Year's e-cards

New Year's Waledac Card -- GarWarner
もう戻ってこなくて良いのに・・・

framtr.com
# dig @8.8.8.8 noloid.com
70.101.10.185 ASN-ELIX Electric Lightwave(5650)
95.52.138.246 ASN-SPBNIT OJSC(8997)
98.230.186.164 Comcast(7725)
119.64.109.187 KRNIC-ASBLOCK-AP(17858)
121.145.43.209 KT-NET KORnet Korea Telecom(4766)
125.132.145.107 KT-NET KORnet Korea Telecom(4766)
210.217.73.108 KT-NET KORnet Korea Telecom(4766)
221.162.41.181 KORNET(Unresolved)

noloid.com
# dig @8.8.8.8 noloid.com
;; ANSWER SECTION:
24.161.223.61 RoadRunner RR-Orange(20001)
93.123.47.226 SKATTV-AS Skat Cable Television(34577)
121.127.220.29 KT-NET KORnet Korea Telecom(4766)
121.132.252.71 KT-NET KORnet Korea Telecom(4766)
121.138.86.16 KT-NET KORnet Korea Telecom(4766)
121.139.240.27 KT-NET KORnet Korea Telecom(4766)
124.80.54.190 GINAMHANVIT-AS-KR(17849)
205.214.245.242 KS CBS TRANSIT(33003)
220.120.43.45 KT-NET KORnet Korea Telecom(4766)

# dig @8.8.8.8 framtr.com
;; ANSWER SECTION:
61.106.69.200 KNCTV-AS Kangnam Cable(9943)
61.231.100.66 HiNet Chunghwa Telecom(3462)
68.53.188.117 Comcast Cable ibone(33491)
89.134.39.228 UPC Broadband(6830)
96.28.102.100 INS-NET Insight(36727)
98.224.160.221 Comcast Cable(33668)※
119.198.111.27 KT-NET KORnet Korea Telecom(4766)
121.138.86.16 KT-NET KORnet Korea Telecom(4766)
121.145.43.209 KT-NET KORnet Korea Telecom(4766)
121.158.186.239 KT-NET KORnet Korea Telecom(4766)
121.171.113.228 KT-NET KORnet Korea Telecom(4766)
220.86.252.217 KT-NET KORnet Korea Telecom(4766)

これはこれは・・ Fast-Fluxですねぇ
Koreaがかなり多いです。

他のドメイン
gumentha.com
purgand.com
aweleon.com

FakeAVのドロッパー
wcap.exe 19/40 (47.50%)
Trojan.Win32.FakeAV

えーっと、不審な New Year カードを開かないようにしましょう（特に URL/添付ファイル付き）
でいいですか？コレ（笑）

----------
| 1262412029 | B | [goog-black-hash 1.47912 update]
| 1262412004 | M | [goog-malware-hash 1.18342 update]
| 316954 | -3864(320818)
| 1198580 |
どんどん感染数が減っていますが、本当に減ってるのかは・・・？
EoF

------------------

2010.01.04 Adobe Reader の JavaScript の件を加筆
2010.01.02 書初め

------------------
このセクションは、既にウィルス除去が終了し、所有しているサイトへの初期対策も完了していることを前提としています。

前提に関しては インシデント発生： THE FIRST STEP を参照してください。

------------------
1. セキュリティソフトを導入します。

有料版がよければ、たくさんの選択肢がありますので、それから選んでください。
幾つか挙げておきます（順不同）
2008年頃までの「御三家」+1

あとはVTのリストを参考にしてください。
VirusTotal について

無料版でしたら右のメニューバーに４つほどありますので、お好きなものを選んでください。
私は現在：
を使っていますが、今のところ問題を感じたことがありません。

尚、WindowsXPの方は、Firewallに不安がありますので、適切なPFWの導入を推奨します。
PFWに関しては別アーティクルを参照してください。

（無料の）PFWのインストール

------------------
2. 物理的ファイアウォールを設置します。

WAN(外側）とLAN（内側）の間に何か機器を設置します。
現在のRouterと呼ばれる機器には殆どがその機能を持っています。
WANとの直結は絶対に避けてください。

------------------
3. アプリケーションを最新版にアップデートし、自動アップデートを確認します。

Microsoft Updateは自動実行にしてください。
※これにより Officeのアップデートも含みます。

以下のソフトウェア・コンポネンツを最新版にしてください。


以下のコンポネンツが必要なら最新版に、不要なら削除してください。

以下のアプリケーションが必要なら最新版に、不要なら削除してください。

------------------
4. インターネット上で使用したことのある全てのパスワードを変更します。

サイトを持っている場合には、そのパスワード
MailのPOP(IMAP)パスワード
ISPのマスターパスワード


逆に、このようなパスワードはすぐに破られると思ってください：
Twitterで使ってはいけない370のパスワード
リスト：テキストファイル

------------------
5. 保有しているサイトの掃除を行います。

Blog等の場合
XML等でバックアップファイルが作成できるなら、一度全ての投稿、固定ページ、コメント等を抜き出します。

FTP使用可能の場合
全てのファイルを一度ローカル側にバックアップします。
その際、FTPS(FTPoverSSL)が使用可能かどうか確認し、FTPSへ移行を強く推奨します。

またSSH使用可能の場合には、SCPのようなSFTPを使用し、必要に応じてSSHのIP制限を掛けてください。

ローカル側にバックアップを取ったファイルから以下の文字列を検索し、自分が意図した投稿なのかどうかチェックします。

iframe
script
base64
unescape
eval

FTPの場合、以下の拡張子のファイルが存在しないかチェックします。もし存在した場合、自分が意図してそれをアップロードしたかどうか確認します。

.js
.pl
.php

.zip
.cab

.exe
.dll
.scr

また、.htaccess ファイルをチェックし自分の意図した設定以外が登録されていないかどうか確認してください。

FTPの場合で、全てのファイルがローカル側に残っている場合、問題が無ければローカルのファイルを書き戻してください。
※その際、必ず元のファイルを全部消してください。

------------------
6. 今後のサイト運用に関して

サイトを運用することは車の運転と似ています。自分が望まなくても加害者になることがあることを認識しましょう。

可能な限り、FTP(平文）での運用を避け、FTPSが使用可能な環境へ移行しましょう。

複数のサイトと連携して、コミュニティ内でもお互いに注意しあいましょう。

インシデントは必ず前兆があります。自分のサイト内、あるいはローカル環境下でおかしなことが起きたら信頼できる人に相談しましょう。

ウィルスやマルウェアの情報に少しだけ耳を傾けておきましょう。

------------------
以後、気が付いたら加筆訂正します。

PFW: Personal Fire Wall
昔はこんなもの必要なかったのですが、最近は怪しげなプロセスが多いので、Outgoingやらアプリケーション間通信を監視しないと危険な世の中になってしまいました。
ちなみに、一般的に言われる Firewall とは別物です。(Firewallは WAN-LAN-DMZの間に設けられる物理的障壁です）

尚、Vista/Windows7 の方はよほどのこと（UACを斬ってるとか）がない限り、追加の Firewall は不要だと個人的には考えていますが、HIPSが大好きな方は入れてみてください。

--------------------
Comodo Firewall
昔から堅牢さに定評のある Comodo Firewall です。
現在は、必ず CIS (Comodo Internet Security) からしかインストールできないため、何でもかんでも [OK] してしまう人にはインストール時のインストラクション的に注意する必要があります。

ダウンロード：
Comodo Firewall

日本語ガイド：
Comodo Firewall @ Wiki

インストール方法：
Comodo Firewall インストール手順
内の
Comodo Firewall インストール手順 : 構成を選ぶ
ここで、COMODO ファイアウォールをインストールするのみチェックし、残りはチェックをはずして下さい。

Defence+に関して
Comodo Firewallの肝となる部分が Defence+ です。これは HIPS という進入防護システムですが、前述したように何でもかんでも [OK] を押す人には無意味になる危険性があります。
また、Defence+導入後最初の 1～2週間は、ひっきりなしにアラートボックスが開くようになりますので、そういうのが嫌いな人にもお勧めできませんが、現在の混沌としたPC環境化で自分を守ってくれる防壁になります。
自分の起動しているタスクがどのプロセスに対してアプリケーション間通信を行っているのがよくわかりますので、（私のように）自分のシステムを信用していない人には必須です。
詳細：
Comodo Firewall Defense+の設定

ThreatCastについて
ThreatCastは、CISアラートに関する情報について、世界中のCISユーザの意見を元に判断し、自分の判断を送るというクラウド･コミュニティを形成します。
しかし、ThreatCast通信で固まってしまう事例が多発していますので、必要に応じて ON/OFFできない人にはお勧めできません。
詳細：
Comodo Firewall Threatcast

--------------------
Outpost Firewall Free
ロシア、サンクトペテルブルク生まれのFirewallです。
Outpost Firewall FREE
Free版を落とそうとすると、Trial Trial言われますが、Free版を落としてください（笑）

日本語解説：
Outpost Firewall -- ｋ本的に無料ソフト・フリーソフト

インストール後、しばらくは外部通信が発生すると
Application is requesting an outbound connection （外向き）
Application attempts to listen a port （内向き）
という警告が現れますので、その通信が本当に自分として許可していいのかどうか熟考したうえで
Allow all activities for this application（外向き許可）
Allow acting as a server（内向き許可）
してください。

特に内向きの場合、本当にその機能が必要なのかどうか、バックドアになっていないのか考えましょう。

Defence+ 同様、HIPSの動作等に知識が必要ですので、よい機会と思って導入してみるのもよいかもしれません。

--------------------
Online Armor Personal Firewall Free
リークテストで常に上位をキープする HIPS統合型PFWです。更新が頻繁に行われており、発展途上でもあります。
最新版：4.0.0.15
Download Online Armor and Online Armour ++ - Free or Trial

日本語FAQ:
Online Armor Security Suite にようこそ

HIPS 機能が便利なパーソナルファイアウォール！「Online Armor Free」

ホワイトリストがかなり多く、導入後もそのまま使用でき、あまり手を煩わせません。アップデートもほぼ自動で行っていきます。
静かに駆動するタイプのPFWです。

--------------------
PC Tools Firewall Plus
PC Toolsのファイアウォールです。
64ビットにも対応しています。

が、Symantecに吸収されてしまったため、今後無料のプロダクツをどうするのかよくわかりません。
Symantec，PCユーティリティ・ソフトのPC Toolsを買収へ

また、Spyware Doctorの記憶がどうしても邪魔して、個人的にはなかなか踏み切れません。
使ってる友人の話では、「問題なし」とのこと

PC Tools Firewall Plus™ 6

--------------------
以上、比較的評価が高く、無料で使用可能な PFW を選定してみました。

参考になれば幸いです。