第2回 山田ウイルス感染レポート

追加レポート
第2回レポートにおいて、ハマーの実験環境固有の問題が発生していました。
そのため追加レポートを作成しました。
詳細はリンク先に記述してあります。
前回と行っていることは同じです。
今回使用したウイルス検体の情報は、山田ヲチスレより頂きました。
この場で改めて御礼申し上げます。

  1. 準備
  2. 感染
  3. 確認
  4. ヲチ
  5. 駆除
  6. その他
1.準備
準備は前回と同じなので使いまわしです。
今回使用したウイルス込みファイルは某P2Pソフト上で配布された『(一般コミック・雑誌) [ジャンプ] [2005-26] ONE PIECE 第368話 「海列車バトルゲーム」.zip』。
感染前のデスクトップ。
(´・ω・)カワイソス壁紙


感染前のレジストリも確認しておきます。
注目するのは2箇所です。
+HKEY_LOCAL_MACHINE
 +SOFTWARE
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
レジストリその1


+HKEY_CURRENT_USER
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
レジストリその2


タスクマネージャーです。
ユーザ名『ハマー』でログオンしています。
通常のsvchost.exeは『NETWORK SERVICE』『LOCAL SERVICE』『SYSTEM』ユーザで動いています。 タスクマネージャー


C:\WINDOWS\system32\drivers\etcフォルダにあるhostsファイルです。
#で始まる行はコメントですので無視してかまいません。
大抵のユーザは『127.0.0.1 localhost』だけです。 hostsファイル


2.感染
本題はここからです。
早速山田ウイルスが仕込まれたファイルを解凍してみたいと思います。
今回も解凍中のアイコンは実行ファイルアイコンでしたが、ファイルサイズが小さいためか一瞬だったのでSSを撮ることはできませんでした。
あやしい.exe

やはりフォルダアイコンに偽装された実行(exe)ファイルです。

あくまで気付いてないものと仮定して、いつも通りダブルクリックします。
ダブルクリック

PCの動作が一瞬遅くなった気もしますが、それよりも話の続きが気になります。








中身は下書k、いえHUNTER×HUNTERでした… _| ̄|○

気を取り直して、上のフォルダに戻りましょう。
またです

第1回と同様、今回も自己解凍型圧縮ファイルでした。


タスクマネージャーを起動してみましょう。
新たなsvchost.exe

最初に確認した時にはなかったsvchost.exeが、ログオンユーザ名で動いています。

おめでたです。


3.確認
山田ウイルスなのか確認してみます。
ちなみにこのとき、故意に再起動させました。
山田ウイルスでなければ大変なことになっていたかもしれません。

山田チェックツールは前回の流用です。
しかし、通報屋氏の正体はなんと…

ログをコピーします
OSバージョン:Windows XP Service Pack 1
詳細なOS情報: Version5.1 Build:2600 Service Pack 1
チェック結果:
OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません

HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイル改変なし。

All Userスタートアップ検索開始
svchost.exeを含むショートカットを発見
ファイルパス:C:\Program Files\Uninstall Information\oeupdate\svchost.exe
All Userスタートアップ検索終了
共通スタートアップに偽装EXEらしきエントリを発見しました

個人スタートアップ検索開始
個人スタートアップ検索終了
ユーザスタートアップに問題はありません

Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイル改変なし。

山田ウイルスに感染している可能性があります。
詳細は http://www2.atwiki.jp/kawaisosu/ まで。
実際に動いているかどうかはプロセススキャンでお確かめを。

なんと今回もレジストリとhostsファイルは弄られていませんでした。
ボソ)つまんねぇな



一気にモチベーションは下がりましたが、ログオンユーザ名で動いているプロセスsvchost.exe本体のある場所を確認してみます。
プロセスパスを調べるのにはSlightTaskManagerを使用します。
スライトタスクマネージャー

プロセスパスが、山田チェックツールが指摘した『All Userスタートアップ』の偽装EXEへのファイルパスと一致します。


次はAll Userスタートアップです。
ショートカットのプロパティを調べてみます。
代わり映えしない

『リンク先』の項目で、正しいパスの前にsvchost.exeへのパスがありました。
""C:\Program Files\Uninstall Information\oeupdate\svchost.exe" "C:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l



もう半ば投げやり気味に、『svchost.exe』の検索を行います。
あれ?

おかしなことに正規の『svchost.exe』しか検出しませんでした。
山田がWindowsの検索機能に勝った――わけではありません。
『Uninstall Information』は隠しフォルダとなっています。
そして検索のデフォルトオプションは、隠しファイルとフォルダを検索しないよう設定されています。
単なる偶然の産物ですが、今後チェックする項目が増えました。


それではこの偽装『svchost.exe』のあるフォルダを開いてみましょう。
また現れたのか

たしかにHUNTERでした

前回も作業フォルダにtmpフォルダがありました。
これも山田ウイルスに関わりがあるのでしょうか?

ともあれ、無事(?)山田ウイルスに感染しました。


4.ヲチ
今回も感染パソコンにアクセスしてみまました。
アクセスするにはアドレスにIPアドレスを入力するだけです。
トップページ
親切に名乗ってくれています。

感染者のSS

2台のPCから感染PCにアクセスしましたが、svchost.exeがエラーで終了することはありませんでした。
svchost.exeがどの程度のアクセスにまで耐えられるのか謎のままです。


やはり山田砲は外せません。

山田砲着弾の瞬間

山田砲命中を確認

あくまで、目標が自分だからこの弾を選択したんです、本当ですよ。
ボソ)感染PCのスピーカーはあらかじめOFF


5.駆除
前回と同じ方法で駆除したのでは、はっきり言ってつまらないです。
そこで今回はウイルスそのままで、スタートアップを無効にしてみました。
スタートアップの修正
ちなみにmsconfigからスタートアップ無効も可能ですが、それだと本来のスタートアップまで無効にしてしまいます。

一旦再起動を行った後、タスクマネージャーを開き、偽装svchost.exeが動いていないか確かめます。
再起動後のタスクマネージャー

これでとりあえず安全なはずです。
だからといって、体内に爆弾を抱えたままなのも危険なので、一応ウイルス本体も削除しておきます。

偽装svchost.exeの削除

今回の方法は、ウイルス本体の場所が特定できない場合です。
ですがこれだけ調べて場所が特定できないなんてことはないでしょう。


6.その他
今回感染した山田ウイルスは、トレンドマイクロ オンラインスキャン、AVG共検出できませんでした。
ですがIndexの表示、あるいは『DR30 Madness』に記載されているCRCの情報より、Mellpon/07なのは間違いありません。


Topへ戻る