2008年3月アーカイブ

SafeSpaceと言うWindows領域を仮想化することが可能なサービスを使って、実際にどの程度パソコンウイルス保護力を得る事が出来るかのレポートです。

先日懸念していた問題ですが、再度検証の結果保護モードアプリケーションでは問題なくリストアされ、同テストの後セーフモード検査でも特にクリーンな状況を確認出来ました。

先日WEBページを見るだけでパソコンウイルス感染してしまうインターネット広告もしくはWEBサイト等から、どう言う形で安全にインターネットサーフィン可能かを当サイト読者様と議論した結果、この仮想化ツールを広めれば、現在多数のWEBサイトに潜む脅威やかつて存在した有名な価格COM事件事故等から皆様を効率よく保護出来る結果至りましたのでここに紹介したいと思います。

注）アンチウイルス対策を導入した上での補助的なツールとしてお考えいただくようお願い致します。

本日差出人名でGoogle AdWordsの名を語る、フィッシングメールを受信しました。

Google AdWords問わず、他のアカウントが盗むメールが増加する懸念があるので至急対策が必要になるかもしれません。

内容は以下の通りです。

This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message.
--------------------------------------------------------------------------------

Dear Google AdWords Customer,

Please sign in to your account at 『http://adwords.google.com/select/login 』（ここに偽のフィッシングリンク先が埋め込まれています。）, and update your billing information.
Your account will be reactivated as soon as you update your payment information.
Your ads will show immediately if you decide to pay for clicks via credit
or debit card. If you decide to pay by direct debit, we may need to receive
your signed debit authorization before your ads start running,
depending on your location.
If you choose bank transfer, your ads will show as soon as we receive your
first payment.


We look forward to providing you with the most effective advertising available.

Sincerely,


----------------------------------------------------------------------------------

The Google AdWords Team

一応対策手順としましては、マカフィーサイトアドバイザの導入等で対応頂くと良いと思います。

実際私も釣られてしまいマカフィーサイトアドバイザーでブロックして頂いた次第です（面目丸つぶれです）

マカフィーサイトアドバイザでフィッシング警告を受けた画面です。

各種WEBサイトで当たり前の様に見る事が出来るようになったインターネット広告。メジャーな広告提供会社様では数万もの広告掲載サイト有する業者様もあります。もしその業者による悪意あるコードがインターネット広告にセットされたら？

注）administrator権限、Power User権限でWindowsを作業しなければ感染しません。

今回のレポート結果から確認出来たのは、まず不正ファイルを進入させてから何らかのアクションがあるものの、主たるウイルスの本体を確認する事が出来ません。tmpファイルにウイルスコードが入っているのでNIMDA、PARITE、これらの亜種よく分かりません。

感染する仕組みは以下の様に訪問したWEBサイトに、サイト運営者がパソコンウイルスに感染させる悪意ある業者の広告を掲載。目視では確認する事が困難な状況で何度も何度も攻撃を繰り返します。



上記の状態を分かりやすくした画面です。

NOD32とSpysweeperAVをセットしたトリプルエンジンでのパソコンウイルス対策環境を運用できるかのレポートです。

テスト環境
AMD Athlon64 3000+ Socket754 (2.0GHzシングルコア)
チップセット VIA K8T800Pro
グラフィック ATI RADEON 9600XT 256MBグラフィックメモリ
メモリ　512MB PC-2700
HDD 40GB IDE/7200rpm
OS WindowsXP pro OEM ServicePack2

両ソフトのバージョン確認画面。
SSAV側のバージョン　5.5.7.124
Sophos バージョン 4.27E
NOD32側のバージョン　2.7　定義ファイル2965

先日のブラウザの後ろに隠れて表示されるポップアップ広告の不正コードに対応するために、何か役に立つ簡単なツールはないものかとcnetをぶらぶらしていた所とても良いブラウザツールバーを見つけましたのでここに掲載させて頂きます。

Cnet Downloadユーザーレビュー評価はやや低いもののZoneAlarm ForceField

現在ベータ版の為もしかすると不安定になる恐れがあります。また、仮想モードを適用すると日本語入力出来ない場合があります。

マカフィーインターネットセキュリティ2008のレビュー完了致しました。

2006年頃レポートさせて頂いた、カスペルスキー5・Antivir7・マカフィー2006と似たような検出力と動作負荷の軽い製品で私的に一目置いていたのですが、年々悪くなる一方です。どうしたんだマカフィー。

国内アンチウイルス御三家崩壊。国内に残る主力アンチウイルス、ウイルスバスター・ノートンに期待。

先日見るだけで感染するサイトをマカフィーのレポートついでにと、local proxyを入れて再度検証の結果

どうも、コーデック絡みの脆弱性を突かれて入る様子です。

以下はその証拠です。

見るだけで感染する、パスをInternetExplorer（Firefoxでは発動しません）で開くとproxyログにocget.dllへPOST要求した後c:\に意図しない実行ファイルが作成されたり、トロイやワームを入れられると言った現象があります。

POST要求は以下のアドレスです。インターネットコンポーネントダウンロードパスで特に悪意あるものではありません。
http://activex.microsoft.com/objects/ocget.dll
http://codecs.microsoft.com/isapi/ocget.dll
元となるサイトは空白で何も表示されていませんが、メディアプレーヤー関連の動画オブジェクトが埋め込まれています。コーデック絡みでコンポーネントを参照するようにコードが書かれているのかもしれません。（コードの参照は出来ませんでした。）

先日見るだけで感染したサイトを、Antivirを搭載し念の為Returnilで仮想化状態で継続して調べて見ました。

結論から申し上げると、とあるポップアップサービスから無数のマルウェア混入の異なるドメインサイトへ転送することが判明。

既にご存知の方も多いかもしれませんが、一応WEBフィルタで対応下さい。

WEBフィルタのサービスがない方はK9 ウェブ プロテクト（無償版あり）なら対応可能だと思います。

根源となるポップアップドメインを検査した結果です。

http://www1.k9webprotection.com/support/check-site-rating.php



一応上記サイトで転送される広告サービスから混入するマルウェアを検証してみました。

本日マカフィーインターネットセキュリティの2008バージョンテストを行っていました所、やはりと言うか危ないと言うかアフィリエイト広告（海外のアフィリエイト広告）内に攻撃コードを確認したのでご報告させて頂きます。

海外サイトをよく利用される方はWEBフィルタの導入をお勧めします。
本日テストにと思い、新種のzlobテスト確認を行っていた所とあるサイトでポップアップ表示された広告から攻撃を受けました。

マカフィー側で一応ブロックした様に見えたのですが、その後以下のコマンドが自動実行されてしまいPCはフリーズ。携帯電話でスクリーンショットを取る羽目となりました。

昨日の続きで申し訳ありません。

Returnil Virtual Systemと言うバーチャルマシンが本物なのか少し試して見たく、今日はワームウイルス二種類を実際にバーチャルマシン上で実行し、本システムへのダメージが無いかのテストレポートです。

テストに用意したのはワームウイルス二種類
Worm.Win32.Antinny.ae
Virus.Win32.Parite.b

テスト環境はWindowsXP ServicePack2 セキュリティ無しのデフォルトセットの状態でテスト。

カスペルスキーファイルスキャンでウイルスであるかを確認

先日Cnetを探索中、なにやらユーザーレビューの評価が高いReturnil Virtual System Personal Editionと言うツールに眼が留まりました。

Virtual Systemと言えば、MicrofostのVirtual machineですがそれとはまた異なるサービスの様子です。

少し試してみたのですがReturnil Virtual Systemの場合、現在使用しているシステムを仮想化するという面白いサービスを提供。

仕組み的には、システムドライブ（Cドライブ）の領域を丸ごとReturnil Virtual Systemが作成する仮想領域（任意の仮想領域Zドライブがデフォルトで作成）で一時的に作業する事が可能となる様子です。（本日初めて入れてみたので詳細を確認していないので簡素な説明で申し訳ありません）

但し仮想化されるのはシステム領域（CドライブであればCドライブのみ、一つのHDDに別パーティションを割り当てている領域は仮想化されません）のみで、別付けのドライブやメディア関連は対象外となります。

一時的に作業可能なので、バーチャルマシン動作時に作業した内容は再起動後全て消えてなくなってしまいます。

とても面白そうなので、このツールを使ってTrojan downloaderを含むマルウェアを実行して感染しないか確認してみました。

AVG Internet Security 8.0のレビューを完了致しました。

有償版なのに、YAHOOツールバーをセットしてくる意図への理解にやや混乱しましたが

理由はマカフィーサイトアドバイザの様なサービスを提供の為の様子です。

使用感としましては、マルウェア対策にやや「やる気無し」と言う勘も否めません。レビューはこちら

マカフィーサイトアドバイザに似たHaute Secureと言うWEBの安全状況をリアルタイムで報告してくれる無料のツールを試して見ました。

カスペルスキーのzlob関連の継続レビューと併せてのレビューとなります。

Haute Secureの特徴としましては、Google側とユーザー側で報告のあったパソコンへダメージを与えるWEBサイトをフィルタする機能と、悪意あるツールをブロックするサービスを有します

試してみた感想ですが、zlob以外は特に反応なくどちらかと言えば軽めのスパイウェア対策ツールと言った感じでしょうか。

以下はzlobを実行試行試みた際の反応です。
ただzlob以外は通常の悪意あるツールを配布するサイトはフィルタで表示出来なくなると言う保護が適用され実際に悪意あるツールに対してどれ程の効果があるのかは不明。気休め程度であれば導入しても構わないと思います。

本日KIS7セットアップ環境にAntivir7をセットして何とかデュアル化できないかご相談頂いたので、実際にどんなものかを確認する為にレビューを取っていましたところ。

まず結論から申し上げると、パソコンウイルス検出時に競合問題が発生してしまいます。
テスト環境がシングルコアプロセッサと言うローエンドモデルが原因の可能性も含みますが、やや相性は悪いと言う感じです。

ただ、本日zlobの確認を行っていたところ、カスペルスキーのヒューリスティック機能に異変？がありましたので、デュアル化の可否と異変の件を併せてご報告させて頂きたいと思います。

本日は面白いと言うかドキッとするツールを一つ紹介させて頂きたいと思います。

cnetさんで、何か良いツールは無いものかと探しておりましたところ、パソコンウイルス対策ルールの販売促進悪戯アプリケーションを発見。

「なんだこれは」とダウンロードし実行してみました所、本当にびっくりしたので是非皆さんも「よければ」体験して頂ければと思いご紹介致します。

対応システムはWindows all

セットアップは不要でパソコンには無害ですが、余り体によくないです。

体感方法は解凍したファイルを実行すればプロセスが開始されます。尚くれぐれも自己責任でお願い致します。

ダウンロードはこちら。Cnetさんのページからダウンロードはこちら

本日の最新ZLOB情報です。

検査日時2008.03.06 03:11:37

Virusutotal検査結果は以下の通りです。
http://www.virustotal.com/jp/analisis/178d2549a8509b8d885a22ab33dcca46

Windows Defenderはややパソコンスペックに依存しラグが発生するものの正しく検出可能でした。
本日も皆さんくれぐれも各ベンダーからのパソコンウイルスパターンファイルを更新下さい。

しかし頻繁に亜種が出現しては、お手上げです。

先日フォーラムでお世話になっているユーザー様より

カスペルスキーやAntivir、NOD32等主要なアンチウイルスエンジンで検出出来ないzlobの亜種報告を頂きました。しかも各アンチウイルスベンダー側でパターンファイルの更新が追いつかない程の高い亜種出現率で、どう言った対策があるのか皆さんと色々議論させて頂いた結果

Windows Defenderがもっとも効果があるのではないかと言う仮定に至りました。

そこでWindows Defenderだと新型亜種をコンスタントに検出可能か、時間を掛けて検証してみたいと思います。

殆どのアンチウイルスエンジンで検出出来ないサンプル下はVirustotalでzlobを検査してみた結果です
検査日時2008.03.05 08:24:25
http://www.virustotal.com/jp/analisis/49474fe85e02b33ef0596cfd6ce7fd4f

先日レポートさせて頂いたテストの続きです

果たしてデュアルエンジンだと、パソコンウイルスの保護力がアップするのか古いトロイウイルスやワームウイルス、trojan downloader等を実行してみました。

パソコンウイルス検出率につきましてはhttp://www.av-comparatives.org/でご覧いただく事が出来ます

テストするパソコンウイルスこちらの方でご覧頂けます。

本日zlobテストを試みたものの、先日より亜種発生率が高いサイトからのマルウェア配布が無くなってしまいテスト出来ない状況が続いておりました。

ところが本日やっと新種を見つける事が出来たのですが、なんとそのzlob配布サイトは皆さんご存知のYOUTUBEを模倣したサイトでした。

動画検索は目視トラップに細心の注意が必要です。

AVASTとANTIVIRデュアル環境では双方検出可能でしたが、Virustotalで検査してみた所半数のアンチウイルスエンジンが未対応です。
Virustotalでの検査結果はこちら（こちらは、Vundoの資料でしたもう訳ありません）
訂正）貼り付ける資料間違えありました、正しくはこちら

今日はレポート途中結果ですが、先日より依頼のあったデュアルアンチウイルスでのテストレポートです。

マルウェア亜種が多数発生する今日この頃のインターネット環境では、シングルアンチウイルス対策ではとても恐ろしくてオンラインコンテンツを気安く導入する事が出来ません。

例えば、皆様がよく構築するセキュリティ環境ではパソコンウイルス対策+スパイウェア対策等のデュアル化ですね。

今回はフォーラムでお世話になっているユーザー様より、パソコンウイルス対策エンジンでデュアル化を構築でも安定して使用可能かを検証依頼を承りレビュー作業に入った次第です。

レビューに使用したアンチウイルス製品
Avast HOME
Antivir
何れも非商用利用に限り無料で利用可能です。（ソフトウェアの詳細はレポートメニューをご覧下さい。）

まず両製品をインストールして問題なく動作可能かを確認

本日の最新パソコンウイルス情報です。

まず、当サイトでお世話になっているフォーラム参加ユーザー様より教えて頂いた非常に更新頻度が高いマルウェアの、各社パソコンウイルス検出率です。

Virustotalでの検出結果詳細
AntiVir　ADSPY/Fakes.13311.1
ClamAV　Trojan.Dropper-2529
Ikarus　Trojan-Downloader.Zlob.ABLJ
Microsoft　TrojanDownloader:Win32/Zlob
VBA32　suspected of Downloader.Zlob.3
Webwasher-Gateway　Ad-Spyware.Fakes.13311.1　
上記6製品のみ対応可能。