各種WEBサイトで当たり前の様に見る事が出来るようになったインターネット広告。メジャーな広告提供会社様では数万もの広告掲載サイト有する業者様もあります。もしその業者による悪意あるコードがインターネット広告にセットされたら?
注)administrator権限、Power User権限でWindowsを作業しなければ感染しません。
今回のレポート結果から確認出来たのは、まず不正ファイルを進入させてから何らかのアクションがあるものの、主たるウイルスの本体を確認する事が出来ません。tmpファイルにウイルスコードが入っているのでNIMDA、PARITE、これらの亜種よく分かりません。
感染する仕組みは以下の様に訪問したWEBサイトに、サイト運営者がパソコンウイルスに感染させる悪意ある業者の広告を掲載。目視では確認する事が困難な状況で何度も何度も攻撃を繰り返します。
上記の状態を分かりやすくした画面です。
注)administrator権限、Power User権限でWindowsを作業しなければ感染しません。
今回のレポート結果から確認出来たのは、まず不正ファイルを進入させてから何らかのアクションがあるものの、主たるウイルスの本体を確認する事が出来ません。tmpファイルにウイルスコードが入っているのでNIMDA、PARITE、これらの亜種よく分かりません。
感染する仕組みは以下の様に訪問したWEBサイトに、サイト運営者がパソコンウイルスに感染させる悪意ある業者の広告を掲載。目視では確認する事が困難な状況で何度も何度も攻撃を繰り返します。
上記の状態を分かりやすくした画面です。
次に上記のサイトで作成される不正ファイル。これらはアンチウイルスで検出出来ない無害なファイルです。
問題のある広告を直接開いて見た結果です。Antivir側ではJava Script Virusとしか検出なく、不正ファイルは作成されてしまいます。地雷ファイルとでも申しましょうかここに地雷ファイルが欲しがっている何らかのコードが存在すると感染します。
幾つかの不正に作成されたファイルを「数種類のアンチウイルスエンジンで検査してくれるVirusTotal」で検査を行うも何も出てきません。もしも作成されてしまった場合半永久的に危険を抱えたままとなると言えます。
検査結果は以下の方からご覧頂けます。
http://www.virustotal.com/jp/analisis/424e9926fdcc3de520fc7311a8060c3a
次にアンチウイルスをパソコンから外して悪意ある広告を直接開いてみた画面です。不正に作成されるファイルと共に、数点のtmpファイルが十数個作成されてしまいました。タスクマネージャでtmpファイルが動いている様子をご覧頂けます。
次に上記の状態でbitdefenderオンラインスキャンしてみた結果です。
C:\9.tmp
Infected with: DeepScan:Generic.PWStealer.DDAF1DAB
C:\C.tmp
Infected with: Trojan.Proxy.Xorpix.BY
C:\E.tmp
Infected with: Trojan.Peed.IWX
C:\F.tmp
Infected with: Trojan.Spy.XVA
C:\WINDOWS\system32\CcEvtSvc.exe
Infected with: Trojan.Spy.XVA
C:\WINDOWS\system32\svchost.exe=>:ext.exe
Infected with: Dropped:Backdoor.Agent.ZCI
C:\WINDOWS\Temp\535253377.exe
Infected with: BehavesLike:Win32.ExplorerHijack
C:\WINDOWS\Temp\NOD92.tmp=>(Quarantine-PE)
Infected with: Trojan.Downloader.LoadAdv.XXA
tmpをファイルZIPファイルにまとめてVirusTotalで検査した結果です。
ワームにトロイにハイジャックにスパイを検出。
検査結果詳細
HijackThsiで検査してみた結果です。(一旦再起動させてから検査)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:03, on 2008/03/26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\CcEvtSvc.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TechSmith\Jing\Jing.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [advap32] c:\8.tmp/r
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jing] "C:\Program Files\TechSmith\Jing\Jing.exe"
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189172021702
O17 - HKLM\System\CCS\Services\Tcpip\..\{56F10F9C-2928-4C12-9F93-3D6CE3F28035}: NameServer = 202.238.95.24,202.238.95.26
O17 - HKLM\System\CS1\Services\Tcpip\..\{56F10F9C-2928-4C12-9F93-3D6CE3F28035}: NameServer = 202.238.95.24,202.238.95.26
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
--
End of file - 4339 bytesここまで。
検査ログはここまでです。
何れにしても、悪意あるインターネット広告から攻撃を防ぐには
HIPS機能の優れたComodo Firewall(不正コード、不正ファイル作成から保護可能)やWEBサーフィン時はシステムもしくはブラウザを仮想化しておく事が最大の防御かもしれません。
次回は仮想化やComodo Firewall Proを使ってこれらの不正コードと不正ファイル作成を防ぐことが出来るかレポートして見たいと思います。
取り急ぎ文章を書いたので、日本語が変な部分があればご指摘の程お願い申し上げます。
問題のある広告を直接開いて見た結果です。Antivir側ではJava Script Virusとしか検出なく、不正ファイルは作成されてしまいます。地雷ファイルとでも申しましょうかここに地雷ファイルが欲しがっている何らかのコードが存在すると感染します。
検査結果は以下の方からご覧頂けます。
http://www.virustotal.com/jp/analisis/424e9926fdcc3de520fc7311a8060c3a
次にアンチウイルスをパソコンから外して悪意ある広告を直接開いてみた画面です。不正に作成されるファイルと共に、数点のtmpファイルが十数個作成されてしまいました。タスクマネージャでtmpファイルが動いている様子をご覧頂けます。
次に上記の状態でbitdefenderオンラインスキャンしてみた結果です。
C:\9.tmp
Infected with: DeepScan:Generic.PWStealer.DDAF1DAB
C:\C.tmp
Infected with: Trojan.Proxy.Xorpix.BY
C:\E.tmp
Infected with: Trojan.Peed.IWX
C:\F.tmp
Infected with: Trojan.Spy.XVA
C:\WINDOWS\system32\CcEvtSvc.exe
Infected with: Trojan.Spy.XVA
C:\WINDOWS\system32\svchost.exe=>:ext.exe
Infected with: Dropped:Backdoor.Agent.ZCI
C:\WINDOWS\Temp\535253377.exe
Infected with: BehavesLike:Win32.ExplorerHijack
C:\WINDOWS\Temp\NOD92.tmp=>(Quarantine-PE)
Infected with: Trojan.Downloader.LoadAdv.XXA
tmpをファイルZIPファイルにまとめてVirusTotalで検査した結果です。
ワームにトロイにハイジャックにスパイを検出。
検査結果詳細
HijackThsiで検査してみた結果です。(一旦再起動させてから検査)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:03, on 2008/03/26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\CcEvtSvc.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TechSmith\Jing\Jing.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [advap32] c:\8.tmp/r
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jing] "C:\Program Files\TechSmith\Jing\Jing.exe"
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189172021702
O17 - HKLM\System\CCS\Services\Tcpip\..\{56F10F9C-2928-4C12-9F93-3D6CE3F28035}: NameServer = 202.238.95.24,202.238.95.26
O17 - HKLM\System\CS1\Services\Tcpip\..\{56F10F9C-2928-4C12-9F93-3D6CE3F28035}: NameServer = 202.238.95.24,202.238.95.26
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
--
End of file - 4339 bytesここまで。
次に、読者様よりリクエストのあったSilent Runnersでログを取得
"Silent Runners.vbs", revision 56, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] "Jing" = ""C:\Program Files\TechSmith\Jing\Jing.exe"" [null data] "ntuser" = "C:\WINDOWS\system32\drivers\spools.exe" [null data] "autoload" = "C:\Documents and Settings\test1\Local Settings\Application Data\cftmon.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS] "PHIME2002ASync" = ""C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /SYNC" [MS] "PHIME2002A" = ""C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /IMEName" [MS] "NvCplDaemon" = ""RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = ""nwiz.exe" /install" ["NVIDIA Corporation"] "NvMediaCenter" = ""RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "COMODO Firewall Pro" = ""C:\Program Files\COMODO\Firewall\cfp.exe" -h" ["COMODO"] "advap32" = "c:\8.tmp/r" [file not found] "ntuser" = "C:\WINDOWS\system32\drivers\spools.exe" [null data] "autoload" = "C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe" [null data] "(Default)" = (unknown data type) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "****** ** CPL **" (unwritable string) -> {HKLM...CLSID} = "****** ** CPL **" (unwritable string) \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] HKLM\SYSTEM\CurrentControlSet\Control\WOW\ <> "cmdline" = "C:\WINDOWS\system32\ntvdm.exe -o" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> partnershipreg\DLLName = "C:\Documents and Settings\All Users\Documents\Settings\partnership.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\草原.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\草原.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ CcEvtSvc, CcEvtSvc, "C:\WINDOWS\System32\CcEvtSvc.exe -k netsvcs" [null data] COMODO Firewall Pro Helper Service, cmdAgent, ""C:\Program Files\COMODO\Firewall\cmdagent.exe"" ["COMODO"] Windows Presentation Foundation Font Cache 3.0.0.0, FontCache3.0.0.0, "C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe" [MS] ---------- (launch time: 2008-03-26 12:50:23) <>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 30 seconds, including 3 seconds for message boxes)検査ログはここまでです。
何れにしても、悪意あるインターネット広告から攻撃を防ぐには
HIPS機能の優れたComodo Firewall(不正コード、不正ファイル作成から保護可能)やWEBサーフィン時はシステムもしくはブラウザを仮想化しておく事が最大の防御かもしれません。
次回は仮想化やComodo Firewall Proを使ってこれらの不正コードと不正ファイル作成を防ぐことが出来るかレポートして見たいと思います。
取り急ぎ文章を書いたので、日本語が変な部分があればご指摘の程お願い申し上げます。
SilentRunnersのログ、ありがとうございます。
スタートアップに感染するだけでなくVundoのようにwinlogonにフックして簡単に削除できなくしてますね。
しかも「ctfmon」をパクって「cftmon」になってますし(笑
勝手に作成されるVirustotalでも反応が鈍いファイルなのですがこちらにアップロードしてみては?
http://cwsandbox.org/?page=submit
どういった行動をするのか教えてくれます。
すみません、追記です。
上のアドレスのサイトなのですが以前ZIPをアップロードしたらエラーが出たので圧縮しないでアップすればいいと思います。
こんにちわ、お世話になります。
この現象確か緑色背景のアンダーグラウンドサイト(Vundo配布)でも確か似たような現象があったと思います。
確かノートン2008ベータの時に、キラーAVに遭遇したときに似ていると直感的に感じました。
検査結果にspools関連を見る事が出来ると思うのですがこれがキラーAVの根源だったのかもしれません。
一度不正に作成される実行データを該当のURLに送って見ます。
ご連絡頂いてありがとうございました。
こんばんは。
Webサイト改ざん攻撃がまた再開されそうです。
取り敢えずJavaScriptは無効にした方が良さそうです。
ttp://www.itmedia.co.jp/enterprise/articles/0803/27/news093.html
こんにちわ、お世話になります。
貴重な情報ありがとうございます。
私もJavaScripを無効にしたり有効にしたりしていますがやや不便だったりです。
少し重くなりますが先日紹介させて頂きましたZoneAlarm ForceFieldなら(Private Browserモード推奨)悪性スクリプトをブロックしてくれますので安心してネットサーフィンできるかと思います。