Javaが古いとサポート中OSも簡単にウィルスに感染する例

知り合いから Twitter のDMで、Avastがなんかサイトブロックしたって表示したんだけど大丈夫だろうか?
って相談がきたのでちょっとTeamViewer 10 を Windows 2000で起動してみてあげることにした。
 
まず、ログ探しから。
Avast! 2014はなんていうか、ログを見る機能がネイティブでないような…。
どこにあるんだよ…って感じだった(使ってる本人も見つけられなかった)

C:\ProgramData\AVAST Software\Avast\report

Report file | Avast Antivirus

* アバスト リアルタイム シールド スキャンレポート
* このファイルは自動的に生成されます
*
* 開始: 2015年6月20日 7:43:02
*

2015/06/20
19:11:21   
chachagong7.com/download/cw?enc=ZmE4NDNmYTg4OTEwNDR(中略)[L] Win32:Evo-gen [Susp] (0)

マルウェアさんちーっす・ω・
というわけでブロック時間がわかったのでIEのセキュリティオプションにこのサイトを制限サイトとして登録

まぁ、Avast最新だし大丈夫かなってことで、これでいいかな?って話になりかけたのだけど、念のためPCのセキュリティチェックをすることに…

コントロールパネルを開いたところ…。

sec1
6u27-Relnotes

( ゚д゚)

(つд⊂)ゴシゴシ

(;゚д゚)

(つд⊂)ゴシゴシ

(;;゚д゚) !?

おぃおぃ・・・Java 6 Update 27って4年前のですぜ…これウィルスに感染してないほうが不思議なんだが
というわけで念のためPCの詳細チェックすることに


sec2

msconfig 見ると、明らかに怪しいスタートアップがある件について。

sec3
フォルダの日時が さっきの警告の1時間前。もしかして、ウィルスに感染したあと、ウィルスが何かやらかして検出したのでは?

sec6a

Antivirus scan for ab1c9b9c560889bb38e23d62a6e90506eefab345cc16f89f27a6b052a69f8e37 at 2015-06-20 13:22:01 UTC - VirusTotal
はい、ウィルスでした。Avast!さんはスルー。現状で検出できるのESET NOD32くらいですね

sec4
裏で海外サイトにアクセスしつづけるIEのキャッシュ。だめだめです。

sec8
削除しようとしたところ、explorer.exe がファイルを復活させてる!?
どうやら、EXPLORER.EXE を乗っ取ってるようだ。

sec9
EXPLORER.EXEを落としたところ削除できた。
しかし、Xibeywが削除できない

sec10
どうも隠しプロセスが動いてるのか殺したプロセスがリソースリークさせて、Threadだけ生きてるらしいNon-existent Process

とりあえず、別ユーザーを作ってログアウトしてそっちから入ってフォルダもクリーニング

sec4
次は、ウィルス感染経路の特定。
フォルダが作られた時間のIEのアクセス。

感染源は 『最新影片日本AV - ThisAV.COM -世界第一中文成人娛樂網站』
タイトルから、中国系のアダルトビデオサイトっぽいですね。

怖い怖い。

とりあえず、Java最新版に置き換えて 今回は終了

OSのサポート中であっても、Javaが古いとサイト見るだけで感染するといういい例でしたね。
しかも、セキュリティソフトで検出できないという。
(ほかにも、ウィルス感染したっぽい形跡がありましたが、検出がウィルス定義更新で、ずいぶん経ってから削除されたような感じ)

|。・ω・)。o ( むしろOSのサポートが切れてても、JavaとFlashとブラウザが最新なら滅多に感染しないよ )

|。・ω・)。o ( あと、本名でPC使うの辞めよう)

おすすめ

2件のフィードバック

  1. yoka より:

    エロページが感染源とか参考になりました。大抵は実行しないと感染しないものばかりで「見ただけ」で感染するなんて信じられませんでした。
    駆除方法も重要ですが感染源まで公表してくれて非常に助かります。例の情報流出事件ではpdfが実はexeでしたとかそんなのだったらしいですね。

  2. postMaster より:

    アダルトサイト&中華サイトのダブルコンボはまずいですよ。
    マイナー系はどんなに対策しても気をつけなくては。。。
    記事を読んでいて、こんだけアレならば、データ退避させてリカバリした方がいいのでは?と思いました。
    マルウェアの1つや2つならまだしも、普通にTASKKILLできないプロセスが走るなら、汚染も考えたるとこのままだと好ましく無い気がします

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です