アンチウィルスで検出できないウィルスに感染したWin7の後日談
Javaが古いとサポート中OSも簡単にウィルスに感染する例
先日の、Windows Update もちゃんとやっていて、アンチウィルスも定義が最新のものを使っていたのに、中国のアダルトサイトを見ていて、ウィルスに感染してしまったパソコンの後日談です。
一通り目に見えるマルウェアを全部削除したのですが。
explorer の 子プロセスとして、 cmd.exe や conhost.exe と iexplore.exe が大量に起動し、なにやら 広告サイトに自動でアクセスして、カウンターを稼ぎに行くという謎動作 を行っていたためもう少し調査したかったのですが、持ち主が眠くて死ぬと言う事態に陥ったので、対処療法として、
IE とコマンドプロンプトを アクセス権をいじって起動不能にすると言う対処両方を行っていたのですが。
時間が取れて再メンテナンスできたので追加記事なのです・ω・
ちなみに、 Avast! と Mcafee と カスペルスキーのルートキット の3つでスキャンして異常なしと言われた。
スペシャルねこまんまを起動すると、プロセス一覧がばぐるし、明らかに検出できないPIDがあるので、ルートキットに感染してるのは間違いないんだけどなぁ…。
結構、検出ツールもいいかげんなんですね。
ルートキット駆除ツール(Rootkit Remover) の実行方法
アンチルートキットユーティリティ TDSSKiller
とりあえず、OSが 64bit版だったので、わたしが普段検出に使ってる小道具が使えないため、DependencyWalker 64bit版を落としてくる。
Dependency Walker (depends.exe) Home Page
で、c:\Windows\Explorer.exe を起動してみる実験
ちなみに、Avastのブロックレポート
| 2015/06/20 19:11:21 chachagong7.com/download/cw?enc [L] Win32:Evo-gen [Susp] (0) 2015/06/23 14:06:12 108.61.176.98 URL:Mal (0) 2015/06/25 18:26:14 7840.mclickurl.com [L] URL:Mal (0) 2015/06/25 18:53:07 big.92.krlwsdnz.serveminecraft.net HTML:RedirME-inf [Trj] (0) 2015/06/25 22:58:26 4aqzz.promorewards.6820.info [L] URL:Mal (0) 2015/06/25 22:59:00 k0yzz.promorewards.6820.info [L] URL:Mal (0) 2015/06/25 22:59:01 sfjzz.promorewards.6820.info [L] URL:Mal (0) 2015/06/25 22:59:01 wtdzz.promorewards.6820.info [L] URL:Mal (0) 2015/06/25 23:02:59 osvzz.super-promo.6818.info [L] URL:Mal (0) 2015/06/25 23:02:59 iyjzz.super-promo.6818.info [L] URL:Mal (0) |
果たして、怪しいDLLがありました。
ポイントは3つ
・普通の方法ではフォルダにアクセスできない。
・コマンドプロンプトのフォルダ補完でも移動できない。
・UBPM.DLLはシステムDLLと同じ名前なので、気づきにくい。
こちらフォルダの中身。
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ubpm.dll
が感染場所。上のハッシュファイルはおそらくキーロガーのログ。
| [HKEY_CLASSES_ROOT\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32] @="C:\\ProgramData\\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\\ubpm.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\Drive\ShellEx\FolderExtensions\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}] |
感染レジストリがこちら。
シェル拡張部分に感染して、EXPLORER.EXEを起動するたびにウィルスが読み込まれる仕組みになっている。
Antivirus scan for a5502e6c3cf7ee680352ce3a68e5c22c90daabe5543ddade9780b53d70764923 at 2015-06-25 15:28:53 UTC - VirusTotal
検出数13になってるけど、再スキャンする前は4だった。
ESETは前回のマルウェアも検出できて優秀な印象 ・ω・
とりあえず、ウィルスの特定ができたので、プロセス全部落としてクリーニングしたところ、ファイルのアクセス権を戻しても怪しいプロセスは出てこなくなった。
これで彼のPCにようやく平和が訪れたのでした。
|・ω・) 。o ( てか、煩悩に負けて、中国の怪しいサイト 見るなよ )
Zscaler Research: Malvertising leading to Flash Zero Day via Angler Exploit Kit
調べてみたところ、この2つ目のウィルスは CVE-2015-0311 APSA15-01
Adobe Flash Player 16.0.0.287 およびそれ以前のバージョン
Adobe Flash Player 13.0.0.262 およびそれ以前のバージョン
のゼロディを利用したウィルスのようです。
でも、彼のPCには当時 最新版(18.0.0.160)の Flash Player が入ってたんだよなぁ・ω・
想定されるケース
・ 上記のウィルスの変種で CVE-2015-3113 を利用したもので、Flash Player の更新が作られる前に感染した。
(CVE-2015-3113 を利用したものだとすると、6月20日の時点で、サイト埋めこみによる攻撃が確立していたことになる)
・ Flash Player 18シリーズには上記CVE-2015-0311の脆弱性が残っている?
・Flash Player 18には さらに 別の Flash Player の脆弱性がある。
|。・ω・)。o ( ただ、この手のバッファーオーバーフローを利用した脆弱性の場合、うちのWin2000に入れてるセキュリティソリューションでブロックできてしまうのだった。)
Translate
それ、一昨日某所で読んだところです。(既に見つけておられるかもしれませんが)
ttp://other-place.bbs.fc2.com/
の
ttp://other-place.bbs.fc2.com/?act=reply&tid=6498599#13256438
と同じようです。
FlashPlayerの脆弱性だけかと思いきや例によってJavaも見てるということなんですね。
ちょうど、今見てましたw ・ω・
多分それの亜種じゃないかと思われます
18.0.0.160での修正が甘い、とかいう話もあります
ttp://blog.trendmicro.co.jp/archives/11771
情報ありがとうございます。
こんにちは。
前回もコメントしましたが、結局友人さんはそのままのPCを使っているんですね
黒翼猫さんの技術力を疑っている訳ではないのですが、友人さんは感染歴のあるシステムに不安は無いのですか?
出来れば全体をリカバリーした方が親切かもしれないと思いました
どっちかというと、今回はキーロガーしこまれてたみたいなので、
ちゃんとパスワード全部変えてくれるかの方が心配ですね・ω・
リカバリーはウィルスの除去が完璧だって自信が無いならやった方がいいと思います
昔からmediafireとかのアップローダーにアクセスすると
新しいウィンドウが開いて広告が出て来てたんですが
最近になってregsvr32.exeとかconhost.exeとかの実行ファイルが
appdataフォルダにdllを入れようとしてるんですが同様の事なんでしょうか?
Win7なのでユーザーアカウント制御で気付いて
実行中のファイルやインストール先のファイルを探しても
見つからなくて気持が悪いので困ってます。
少し前はTempフォルダに実行されている.tempファイル
見つけることが出来たのですが・・・
多分、同じ系列のウィルスですね。
C:\ProgramData をコマンドプロンプト起動して
dir /A やったときに 変な隠しフォルダが出てきたら、恐らくアウトです
アドバイス頂けて助かります。
思い出したのですが一度でもユーザーアカウント制御が出てきて
当然「いいえ」を選んでもその後に何度も出てくるのを止めたいというか
その実行中のファイルやプロセスを消したいのですが
それも見当たらないんです。
プロセスチェッカーみたいなのじゃないと見つからないんでしょうか?
追伸ですがウイルスバスターは以前見つけた.tempファイルも
お聞きした.exeファイルも全く反応してくれませんでした。
このウィルスは SHELLエクステンションに感染するのでEXPLORER.EXEがすでに感染しているため、これが検出できなければ見えません。EXPLORE.EXEがCMDなどを直接呼び出して、処理するため、ウィルスとは検出できません。
ttp://minkara.carview.co.jp/userid/120416/blog/35927471/
こういう残念なのってまだ居るんですねw
Aを入れていた→感染
怒ってBを導入→感染
怒ってCを(ry
ユーザー自身の脆弱性(アップデート放置)を何とかしない限り永久に続く負の無限連鎖www
前のコメント読んでて思ったのは、アンチウィルスさえ入れておけば大丈夫!といった思い込みがないかと。
定義ファイルの更新及びスキャンは当然ですが、クッキーやキャッシュを消したりすることすらしてないような・・・。
WindowsUpdateもしてないんじゃないかと
アドバイスを頂いたcmd.exeやせっかくなのでDependencyWalkerで
EXPLORE.EXEを見ても誰が見ても怪しい名前は有りませんでした。
今度またユーザーアカウント制御が出てきたらその時に
DependencyWalkerでEXPLORE.EXEを見てみたいと思います。
ありがとうございました。
これからもブログ応援しています。
当たり前ですが、Dependency Walker は単に開くんじゃなくて、そのうえで実行しないと
モジュールはロードされませんよ?
|。・ω・) 。o (大丈夫かな?)
そいやうちの会社、ノートPCをWindows7で動かしてるのですが、MSE入れてんですね。
23台稼動させてんですが、まともにScan掛けてるところは三分の一程度。WindowsUpdateは全体も同程度。
リテラシーがどうこうと言われる昨今ですが、使いこなせる事をプロとするなら、最低限のメンテナンスをもしない者がプロになりうるのかと・・・・。
以上、愚痴でした。
心配してもらって恐縮です。
Dependency Walkerはexplorer.exeの場所をタスクマネージャーで探して
Dependency Walkerのopenから\windows内のexplorer.exeを開きました。
他にはmsconfigのスタートアップとレジストリ内のrunの辺りも
見ておきましたが明らかに怪しいのは見つけられませんでした。
ウイルスがそれっぽい名前にされていたらあんまり自信はありませんが…
開いたあとプロファイル機能使って実行してない予感・ω・
早速プロファイルボタンからstart profileしてきました。
設定画面はデフォルトでディレクトリはwindowsフォルダと
cドライブで両方してみましたが実行するたびにライブラリフォルダが
オープンしてきてビックリしました。
ついでにF9ボタンでフルパス表示にしてモジュールの欄も確認しましたが
変なパスのファイルは無かったです。
強いて言えばIESHIMS.DLLが?表示で見つからない様です。
知らないことが出来るようになるのは楽しいことですし
ここまで使い方を親切に教えて頂けて幸いです。
今更ながらですが(多分もう気づいておられると思いますが)
2の方が挙げておられるように、実際はCVE-2015-3043(4月更新)の脆弱性を利用した攻撃で、6月1回目の更新でその脆弱性が復活、そのせいで感染、の可能性が高いかと
ちょっと某所で手伝ったのがそのパターンで(4月出現・6月頻出)、6月に近似の感染が妙に多かったのはどうもそのせいではないかと
前記事も含めてで読ませていただき、もうすぐ出るwindows10に合わせてとかで、アンチウイルスソフト(でいいんだよね?)を入手しようと思ってカスペルスキーかESET辺りなのかなとか思いながら検討していて、台数無制限だったりするのに惹かれてカスペルスキーと考えたりしていたのですが、確か警察でも使用してるとかいうのとか他がスルーしたやつ(価格.comのサイト改ざんだったかでのやつ)をちゃんと検出できたというのとかを見た気がするし、今回も検出できてるしでESET良さそうだなと思いながらも(少なくとも)個人向けだと5台までのしかないんだよなーというのでこの事をすっかり忘れていればカスペルスキーですが、買おうかなという最終段階くらいとかの時に覚えていればESETと悩みそうです。