ウィルスアタックだ! (PART 1)
(stuxnet2.jpg)
(cockroach3.gif)
(nospy.gif)
(manila05b.jpg)
デンマンさん。。。またウィルスにアタックされたのですか?
(kato3.gif)
そうなのですよう。 でも、その話はずいぶん前のことです。。。 もちろん、僕はウィルスにアタックされたという衝撃も、意識もなかったのだけれど。。。
どのぐらい前のお話なのですか?
かれこれ、10年前になりますよ。。。 2009年8月6日の午後11時頃のことです。。。 最近は、バンクーバー市立図書館でブログを更新しているのだけれど、その当時は僕のマンションのパソコンでブログを更新していたのです。
それで、どのような経緯でアタックを発見したのですかァ?
あのねぇ~、 Windows Updates が自動的に作動して更新情報をマイクロソフトからダウンロードしたのです。 メモを見るとセキュリティーに関する更新情報をダウンロードしたようです。
つまり、ウィルスだとか、ワームだとか、トロイの木馬対策のためのアプリケーションがダウンロードされたのですか?
多分、そうだと思うのです。 僕は、翌日の朝、Windows XPをスタートしてメールのチェックしようとしたのです。 ブラウザ(IE 7.0)を立ち上げて INFOSEEK のウェブメール・ボックス を開いたのですよう。
。。。で、どうなったのですか?
次のようなメッセージが現れたのです。
(spyware2.gif)
実は、ウィルスも検出されたのだけれど、IE 7.0 にスパイウェアが仕込まれていると言うのですよう。
どのようなスパイウェアなのですか?
メッセージによると、僕がキーボードでタイプするシークエンスを記録して、それをスクリーンショットと共にスパイ・マスターに送信すると言うのです。
キーロガー(keylogger)のことですか?
そうです。
それで。。。?
ウィルスとスパイウェアを検出したので、当然、システム・スキャンが走ったのですよう。
(vir90807.gif)
この上のリストがシステム・スキャンの結果ですか?
そうなのです。 次の表のように38件もの危険物を見つけたのですよう。
38の危険物の内訳(うちわけ)
(uncle006.gif)
1) Spyware
C:/windows/system32/iesetup.dll
Spyware.IEMonster.d
Steals passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs.
2) Adware
autorun
Zlob.PornAdvertiser.ba
Adware that displays pop-up/pop-under advertisements of pornographic or online gambling Web sites.
3) Spyware
autorun
Spyware.IMMonitor
Program that can be used to monitor and record conversations in popular instant messaging applications.
4) Backdoor
C:/windows/system32/svchost.exe
Win32.Rbot.fm
An IRC controlled backdoor that can be used to gain unauthorized access to a victim's machine.
5) Trojan
autorun
Infostealer.Banker.E
Steals sensitive information from the infected computer (e.g. logins and passwords from online banking sessions).
6) Dialer
C:/windows/system32/cmdial32.dll
Dialer.Xpehbam.biz_dialer
A Dialer that loads pornographic material. The url information shows Hardcore Pornographic pages.
7) Spyware
autorun
Spyware.KnownBadSites
Uses the Windows hosts file to redirect your browser to a malicious site when you try to access a valid site.
8) Trojan
autorun
Trojan.Tooso
Trojan.Tooso is a trojan which attempts to terminate and delete security related applications.
9) Trojan
C:/windows/system32/explorer.exe
Trojan.MailGrabber.s
Trojan horse that gets access to e-mail accounts on the infected computer.
10) Trojan
C:/windows/system32/alg.exe
Trojan.Alg.t
Trojan program that can compromise your private information stored on the hard drive.
11) Rogue
C:/Program Files/TrustedAntivirus
TrustedAntivirus
A corrupt and misleading anti-virus program that may be usually installed with the help of malcous Trojans and other malware
12) Rogue
C:/Program Files/SecurePCCleaner
SecurePCCleaner
Rogue Security Software: fake Security software that uses deceptive means for installation and purpose.
13) Trojan
C:/windows/system32/
Trojan.BAT.Adduser.t
This Trojan has a malicious payload. It is a BAT file. It is 1129 bytes in size.
14) Spyware
C:/windows/system32/
Spyware.007SpySoftware
Program designed to monitor user activity. May be used with or without consent.
15) Trojan
C:/windows/hidden/
Trojan.Clicker.EC
Trojan.Clicker.EC is an information stealing Trojan that masquerades as a legitimate system file so as to avoid detection and subsequent removal.
16) Dialer
C:/windows/hidden/
Dialer.Trafficjam.a
Dialer.Trafficjam.a is a premium-rate phone dialer that automatically invokes paid access to various porn-related Web sites.
17) Trojan
hidden autorun
Trojan.Poison.J
Trojan.Poison.J is a key-logging Trojan for the Windows platform.
18) Adware
Registry
Adware.eXact.BargainBuddy
A browser helper object that monitors internet browsing sessions in an attempt to redirect search queries and distribute unsolicited advertisements.
19) Worm
C:/windows/system32/
Win32.Delbot.AI
Win32.Delbot.AI is a worm and IRC backdoor that exploits system and software vulnerabilities in order to provide remote access to the host PC.
20) Worm
C:/windows/temp/
Win32.Sdbot.ADN
A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.
21) Trojan
C:/windows/
Trojan-Dropper.Win32.Agent.bot
This Trojan is designed to install and launch other malicious programs on the victim machine without the knowledge or consent of the user.
22) Worm
C:/windows/temp/
Win32.Rbot.CBX
A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.
23) Spyware
autorun
Win32.PerFiler
Win32.PerFiler is designed to retrieve and install files when executed. Win32.PerFiler is configured to download from either a designated web or FTP site.
24) Worm
hidden autorun
Win32.Miewer.a
A Trojan Downloader that masquerades as a legitimate system file. Associated processes connect to the Internet to download additional malicious files.
25) Trojan
C:/windows/
Trojan-Downloader.VBS.Small.dc
This Trojan downloads other files via the FTP protocol and launches them for execution on the victim machine without the user’s knowledge.
26) Worm
autorun
Win32.Peacomm.dam
A Trojan Downloader that is spread as an attachment to emails with news headlines as the subject lines which downloads additional security threats.
27) Trojan
C:/windows/system/drivers/
Win32.Spamta.KG.worm
A multi-component mass-mailing worm that downloads and executes files from the Internet.
28) Trojan
C:/windows/system/drivers/etc/
Trojan.IRCBot.d
A worm that opens an IRC back door on the infected host. It spreads by exploiting the Windows Remote Buffer Overflow Vulnerability.
29) Trojan
C:/windows/system/mui/
Trojan.Dropper.MSWord.j
A Microsoft Word macro virus that drops a trojan onto the infected host.
30) Trojan
C:/windows/system/mui/
Win32.Clagger.C
This is small Trojan downloader that downloads files and lowers security settings. It is spreading as an email attachment.
31) Worm
C:/windows/system/
Worm.Bagle.CP
This is a "Bagle" mass-mailer which demonstrates typical "Bagle" behavior.
32) Worm
C:/windows/
Win32.BlackMail.xx
This dangerous worm will destroy certain data files on an infected user's machine on February 3, 2008.
33) Trojan
hidden autorun
Trojan.Win32.Agent.ado
Trojan downloader that is spread as an attachment to a spam email and tries to download a password stealer.
34) Trojan
autorun
Win32.Outsbot.u
A backdoor Trojan that is remotely controlled via Internet Relay Chat (IRC). It exploits Sony Digital Rights Management (DRM) software to hide its presence.
35) Spyware
autorun
Win32.PerFiler
Win32.PerFiler is designed to retrieve and install files when executed. Win32.PerFiler is configured to download from either a designated web or FTP site.
36) Worm
hidden autorun
Win32.Miewer.a
A Trojan Downloader that masquerades as a legitimate system file.
37) Trojan
C:/windows/
Trojan-Downloader.VBS.Small.dc
This Trojan downloads other files via the FTP protocol and launches them for execution on the victim machine without the user’s knowledge.
38) Worm
autorun
Win32.Peacomm.dam
A Trojan Downloader that is spread as an attachment to emails with news headlines as the subject lines which downloads additional security threats.
番号に続いて危険物のタイプ、どのように走るのか?どこに隠れているのか?(run type)、それから危険物の名前、それに続いて危険物の概要が書いてありますよう。
英語だから、ちょっと分かりにくいですわ。
そう思ったので、すべて訳そうかとも思ったのだけれど、ちょっと面倒なので、重要な言葉だけ日本語で説明を書きました。 読んでみてください。
Malware (マルウェア)
(stuxnet2.jpg)
悪意のあるソフトウェアの総称。日本では不正ソフトウェアとも呼ばれる。
英語で「悪意をもったソフトウェア」を意味する表現 malicious software を合成した言葉。
コンピュータウイルスやワームが代表例で、他にクラックツール、スパイウェア、悪質なアドウェアなども含む。
Spyware (スパイウェア)
スパイウェアは、キーボード・マウスからの入力やウェブブラウザの閲覧履歴などユーザーの振る舞いに関する情報を収集し、それを情報収集者である特定の企業・団体・個人等に自動的に送信する。
Adware (アドウェア)
アドウェアは、ユーザーに何らかの利便性や娯楽を提供する物も多く、一概にその存在はマルウェアとはいえなが、内容によっては甚だ不快な動作を行う物もある。
Trojan (トロイの木馬)
ギリシア神話に登場するトロイの木馬になぞらえて名前がつけられた。
トロイの木馬は、自己増殖機能がない事からコンピュータウイルスとは区別されている。
しかし、目的が悪意のあるものがほとんどなため、一般的にはウイルスとして認知されている。
トロイの木馬は、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者任意のポートを開放し、外部からの接続を許可する。
これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。
例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。
Backdoor (バックドア)
コンピュータの中にある情報を見るには、正規の手続きを踏んで閲覧するのが普通であるが、その手続きに依らずに情報を呼び出したり、場合によってはそれら情報の作成・変更・消去を、その正規ではない手続きで行う事を可能にするプログラム。
このようなプログラムを外部から送り込み、コンピュータ内で動作させることがある。
もちろん、不正なアクセスであるため違法である。
バックドアは被害者の認識を経ずにインストールされ、実行される遠隔操作のためのプログラムである。
バックドアは最も危険なトロイの一種とされている。
Dialer (ダイアラー)
ダイヤラーは、コンピュータから電話回線を通じてダイヤルアップ接続を行なうためのソフトウェア。
アダルトサイトなどでは、ダイヤラーの機能がWindowsが本来有している機能であることを悪用し、自動的に国際電話へかけるツールをインストールさせてしまうケースがある。
コンピュータ所有者が気付かない間に国際電話に接続され、後日高額な請求が来ることが問題になった。
最近では、ブロードバンド接続が普及したため、仮にダイヤルアップ設定が作成されても実際の接続に至らない。
Rogue (ローグ)
Rogue security software のこと。
日本語に訳せば、「不正セキュリティソフトウェア」
詐欺的な手法を使用してインストールなどを促すセキュリティ ソフトウェアです。
ひとたびインストールされると、自作自演のウィルスやトロイの木馬を走らせて、それを除去するプログラムをさらに買わせようとするような悪質な業者のセキュリティソフトウェア。
Worm (ワーム)
ワームは、マルウェア一種。
自身が独立したプログラムであって、感染する宿主ファイルを必要としない点で、狭義のコンピュータウイルスとは区別される。
ネットワークを介して他のコンピュータに入り込んで増殖する動作を繰り返し、結果としてCPUやネットワーク負荷を異常に増大させる。
ウイルスと同様に扱われることが多い。
それにしても、デンマンさんのシステムにはたくさんの危険物が隠れているのですわねぇ~!?
そうなのですよう。 うしししししし。。。 上のリストを読んでずいぶんと勉強させられましたよう。
喜んでいる場合じゃないでしょう!
しかし、最悪の場合でも、癌にかかるのと違って命まではとられませんからね。 うへへへへ。。。
ところで、この前のウィルスアタックで検出された危険物は 24件でしたよね?
そうですよう。 その結果を見てください。
(spy21.gif)
(spy22.gif)
このときの検出プログラムは、上のシステム・スキャンとは違うのですか?
このすぐ上の検出プログラムはXP Deluxe Protectorの一部なのですよ。
。。。で、その上のシステム・スキャンは?
2009年8月6日にマイクロソフトからダウンロードされた更新情報の中に、そのシステムスキャンのプログラムが入っていたようです。
1ヶ月ほど前にウィルスにアタックされた時に検出した結果が 24件だということは、この1ヶ月の間に、さらに危険物が14件入り込んだのですか?
■『長いメール (2009年7月12日)』
その1ヶ月前のウィルスアタックについては上の記事の中で書いたけれど、新しい危険物が見つかったと言うよりも、7月5日には危険物リストにもれていた危険物が見つかったのですよう。 僕は2009年7月5日に XOOPSをインストールするためのスクリプトを走らせた。 そのスクリプトの中にウィルスを含めて、いかがわしい危険物が入っていたのですよう。 上のリストの2番目の ポルノサイトを宣伝する Adware はその時に入ったものですよう。 でも、それ以来、僕は新しいスクリプトを走らせてもいなければ、新しいプログラムをインストールもしていない。 もちろん、他のソフトやゲームをダウンロードもしていない。
でも、それまでに忍び込んだマルウェアが、新たな危険物を呼び込んだのかも知れませんわ。
う~~ん。。。確かに、その可能性も十分にあります。
。。。で、危険物はすべて取り除いたのですか?
XP Deluxe Protector で取り除こうとしたら、これは無料ではないのですよ。 activation key を買うようになっていた。 だから、とりあえず、パソコンのスピードを遅くしているウィルスに感染した qttask.exe を取り除いたのです。 詳しいことは次の記事で書きました。
(virus110.jpg)
■『ウィルスアタック (2009年7月17日)』
■『続・ウィルスアタック (2009年7月18日)』
■『ウィルスアタック後記 (2009年7月20日)』
じゃあ。。。、最初に見つかった24件の危険物も、ほとんど取り除いてないのですか?
うへへへへ。。。 ほとんど、そのままにしてあるのです。
でも、危険なのでしょう?
確かに危険なのかもしれません。 でもねぇ、命までは取られないからね。 うしししし。。。
でも、パソコンが起動しなくなることだってあるのでしょう?
もちろん、そういう事もあるでしょう?実際、僕のパソコンが事実上使えなくなってしまったのだから。。。
それなのに、どうして危険物を取り除かないのですか?
あのねぇ~、僕はウィルスや、トロイの木馬や、ワームの危険性をマイクロソフトは必要以上にユーザーに植えつけているような気がするのですよ。
(spyware2.gif)
マイクロソフトの上の警告は、実は、ほんの一部なのです。 読む人を震え上がらせるような怖い事がこの警告に続いて書いてある。
マジで。。。?
もちろん、人によって受け留め方が違うから、必ずしも震え上がってしまう人はいないと思うけれど。。。
。。。で、実際に怖い事がデンマンさんのパソコンで起こったのですか?
怖いと言う程ではなかったけれど、「これ以上、ダメージが広がらないように、あなたのシステムをシャットダウンします」。。。こういうメッセージが出て、それでプツンッ!と切れるように画面が真っ黒になって、電源が切れましたよう。
それってぇ。。。、それってぇ、マジで怖いですわよう。
でも、命まではとられませんからね。。。うしししし。。。
。。。んで、他には?
IE 7.0 がスパイウェアに犯されているのです。 それで、自動的にシステムスキャンが走ってしまう。
デンマンさんが、そのスパイウェアを取り除かないからですわァ。。。それで、どうしているのですか?
そのまま使っていました。 でもねぇ、5分おきぐらいにシステムスキャンが走るのです。 それで、また「危険だからダメージが広がらないようにシャットダウンします!」うと言うメッセージが表示される。
。。。で、画面が真っ暗になって電源が切れるのですか?
そうですよう。 うへへへへ。。。 それで、馬鹿バカしくって IE 7.0 を使ってられない。
でも、ブラウザを使わなければネットができないでしょう?
だから、僕は IE 7.0 を使うのをやめて AOL のブラウザを使っているのです。 この記事も AOL のブラウザを使って ライブドアに予約投稿しているのです。
スパイウェアを取り除けばよいではありませんか!?
そのうち取り除きます。 それまで、記事のネタになるのではないかと思って様子を見ているのですよう。
でも、それが原因でパソコンが起動しなくなったらどうするのですか?
その時には、また、その事で記事が書けるでしょう!? 僕だって、ころでもただでは起きませんからねぇ。。。 うへへへへぇ~。。。
じゃあ、今のところ、デンマンさんは危険物を取り除いてないのですか?
あのねぇ~、すべて取り除くには activation key を買わねばならない。 つまり、マイクロソフトはウィルス対策で商売しているのですよう。
無料にすべきだとデンマンさんはおっしゃるのですか?
当然ですよう。 問題のスパイウェアも IE 7.0 に入り込んだのですよう。 つまり、マイクロソフトの手落ちなのです。 それなのに、ユーザーに activation key を買わせる。 本来ならば、マイクロソフトがウィルスなどが入り込まないようなブラウザを作るべきだった。 だから、ウィルスを除去するのも、言ってみればマイクロソフトのアフターケアですよう。 無料のアフターサービスにすべきですよう。
そうでしょうか?
僕のプロバイダーの AOL は、スパイウェアを除去するためのソフトウェアをユーザーに提供しているけれど、無料ですよう。 それを考えれば、マイクロソフトがユーザーに activation key を買わせるのは、どう考えても理屈に合わない。 僕は、そう思うのです。
【初出: 2009年8月14日 『続々・ウィルスアタック』】
(laugh16.gif)
(すぐ下のページへ続く)
