追加レポート

1.初めに
ウイルス感染時においてスタートアップとレジストリを同時に改ざんしないとの情報を頂きました。
そのためスタートアップを削除しレジストリを改ざんさせるようにしました。

同時に第2回感染レポートで使用した検体は、確実にhostsファイルを改ざんするとの情報も頂きました。
こちらで確認した所、ウイルスの実行が途中で止まっているようです。
そのため、改ざんされたhostsファイルを手動でコピーすることにより、感染状態を再現しました。
本来の動作とは異なるため、実際とは異なる可能性があることをご了承下さい。

感染に至る経緯は第2回レポートと同じなので省略します。

2.確認
何かのウイルスに感染しました。
しかしアンチウイルスソフトなんて導入していません。
ですが世の中には無償で利用できるオンラインウイルススキャンという便利なものがあります。

早速ウイルスバスターオンラインスキャンを利用してみましょう。
トレンドマイクロ?

朝日新聞は結構です。
どうしたことでしょう? URLが間違っていたのでしょうか?

今度はシマンテック・セキュリティチェックを利用してみます。
シマンテック?

だから朝日新聞は結構と言っているでしょう!

誰だって、ここまで来れば異常に気がつきます。
しかし、その原因までは特定しかねます。
仮に山田ウイルスの存在に気がついたとしても、山田ヲチスレまとめWikiも同様の症状が起こり閲覧できません。


結論から行きましょう。
hostsファイルが改ざんされることによって起こる現象です。

hostsファイルについて簡単に説明します。
hostsファイルに次のようなエントリが存在したとします。
210.173.169.170  www.trendmicro.com

ここで『www.trendmicro.com』にアクセスしようとした場合、PCは『www.trendmicro.com』を『210.173.169.170( = www.asahi.com)』として認識します。

つまり先ほどの現象は、ウイルスバスターオンラインスキャンにアクセスしようとした際、PCは『http://www.trendmicro.co.jp/hcall/』ではなく『http://www.asahi.com/hcall/』にアクセスしようとしていたわけです。


困ったことに、hostsファイルには山田専用アップローダーを示す『yamada.tank.jp』エントリも追加されています。
これでは、感染者のデスクトップ画像を山田砲として感染者に発射しても意味がありません。
なぜか開く朝日新聞HP

山田専用アップローダーを利用したハマーの警告ページも改良の必要があります。
メッセージだけでも読み取ってくれ…



いったん話を元に戻しましょう。
山田ウイルスを疑うのなら、まずは山田チェックツールです。
前回より少しだけバージョンアップしています。
引きこもり学生?

ログをコピーします
OSバージョン:Windows XP Service Pack 1
詳細なOS情報: Version5.1 Build:2600 Service Pack 1
チェック結果:
OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
svchostエントリが見つかりました。
ファイルパス:"C:\Program Files\Common Files\MSSoap\Binaries\Resources\svchost.exe"
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に偽装EXEらしきエントリを発見しました

HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイルが改変されている可能性があります

All Userスタートアップ検索開始
All Userスタートアップ検索終了
共通スタートアップに問題はありません

個人スタートアップ検索開始
個人スタートアップ検索終了
ユーザスタートアップに問題はありません

Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイル改変なし。

検索結果:
山田ウイルスに感染している可能性があります。
詳細は  http://www3.atwiki.jp/yamada/ まで。
疑惑箇所:
レジストリ(HKEY_LOCAL_USER)
HOSTSファイル


判定:(´・ω・) カワイソス

ついにレジストリとhostsファイルが改ざんされました。


hostsファイルは次のように改ざんされていました。
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost


210.173.169.170 avp.ch
210.173.169.170 avp.com
210.173.169.170 avp.ru
210.173.169.170 awaps.net
210.173.169.170 ca.com
210.173.169.170 customer.symantec.com
210.173.169.170 dispatch.mcafee.com
210.173.169.170 download.mcafee.com
210.173.169.170 download.microsoft.com
210.173.169.170 downloads.microsoft.com
210.173.169.170 engine.awaps.net
210.173.169.170 fastclick.net
210.173.169.170 f-secure.com
210.173.169.170 ftp.f-secure.com
210.173.169.170 ftp.sophos.com
210.173.169.170 go.microsoft.com
210.173.169.170 housecall-t.activeupdate.trendmicro.com
210.173.169.170 kaspersky.com
210.173.169.170 liveupdate.symantec.com
210.173.169.170 liveupdate.symantecliveupdate.com
210.173.169.170 mast.mcafee.com
210.173.169.170 mcafee.com
210.173.169.170 media.fastclick.net
210.173.169.170 msdn.microsoft.com
210.173.169.170 my-etrust.com
210.173.169.170 nai.com
210.173.169.170 networkassociates.com
210.173.169.170 office.microsoft.com
210.173.169.170 phx.corporate-ir.net
210.173.169.170 rads.mcafee.com
210.173.169.170 secure.nai.com
210.173.169.170 securityresponse.symantec.com
210.173.169.170 service1.symantec.com
210.173.169.170 sophos.com
210.173.169.170 spd.atdmt.com
210.173.169.170 support.microsoft.com
210.173.169.170 symantec.com
210.173.169.170 trendmicro.com
210.173.169.170 update.symantec.com
210.173.169.170 updates.symantec.com
210.173.169.170 us.mcafee.com
210.173.169.170 vil.nai.com
210.173.169.170 viruslist.com
210.173.169.170 viruslist.ru
210.173.169.170 windowsupdate.microsoft.com
210.173.169.170 www.avp.com
210.173.169.170 www.ca.com
210.173.169.170 www.f-secure.com
210.173.169.170 www.kaspersky.com
210.173.169.170 www.mcafee.com
210.173.169.170 www.my-etrust.com
210.173.169.170 www.nai.com
210.173.169.170 www.networkassociates.com
210.173.169.170 www.sophos.com
210.173.169.170 www.symantec.com
210.173.169.170 www.trendmicro.com
210.173.169.170 www.viruslist.com
210.173.169.170 www.trendmicro.co.jp
210.173.169.170 www2.atwiki.jp
210.173.169.170 tokyo.cool.ne.jp
210.173.169.170 yamada.tank.jp

hostsファイルの修正は、余分なエントリ(『127.0.0.1 localhost』より下の行)をエディタで削除するだけなので非常に簡単です。
ですが山田チェックツールには予めhostsファイルを修正する機能が備わっているのでこちらを使いましょう。
ただし自分でhostsファイルのエントリを追加された方は注意して下さい。
『HOSTSファイル修正』をクリック

2度、確認メッセージが表示されます。
確認メッセージ



次は実行されているsvchost.exeの場所を調べましょう。
これまではプロセスパスを調べるのにSlightTaskManagerを使用していました。
今回は面倒なのでチェックツールの『プロセススキャン』機能を利用します。
プロセススキャン


早速『C:\Program Files\Common Files\MSSoap\Binaries\Resources』を開いてみます。
svchost.exeだけ?

そこにいたのは偽装svchost.exeだけで、『C.html』などが収められたフォルダが見当たりません。
必要というわけではありませんが、ついでなので探してみました。
見〜つけた!

作業フォルダを指定しない場合、ログオンユーザのルートドキュメントフォルダに作るのでしょうか?
まあ、大した問題ではありませんので放っておきましょう。


とりあえず山田ウイルス感染を確認しました。


3.駆除
今回はスタートアップの登録をレジストリで行うタイプでした。
しかし、だからと言ってあまり気構える必要はありません。
第1回の時と同様、ログオンユーザ名で動いている『svchost.exe』を停止させます。
殺せ、殺せ、殺せ

次に山田ウイルス本体である偽装『svchost.exe』を削除します。
とっとと消えろ

これだけです。
レジストリ?
単に無意味なキーが残るだけです。
気になるようでしたら、ゴミもちゃんと片付けましょう。


まずは疑わしいエントリの位置を確認します。
すでに山田チェックツールが指摘してくれていますから、その場所まで移動するだけです。
ちなみにチェックツールの示した『HKEY_LOCAL_USER』とは『HKEY_CURRENT_USER』のことです。
レジストリエディタを起動して次の場所を見てみましょう。
+HKEY_CURRENT_USER
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
現ユーザのスタートアップ

値の名前が『lMJPMlG』、値のデータが『"C:\Program Files\Common Files\MSSoap\Binaries\Resources\svchost.exe"』となっているキーを発見しました。
こいつがWindows起動時に偽装svchost.exeを起動させていた張本人です。


余談ですが、これとまったく同じキーエントリが『HKEY_USERS』にも存在します。
ハマーの場合、次の場所にありました。
+HKEY_USERS
 +S-1-5-21-839522115-1202660629-1903499747-1004
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Run
ユーザ名『ハマー』のスタートアップ

こちらは特に気にする必要はありません。
『HKEY_USERS』には全ユーザのキーデータが格納されています。
Windows起動時に、『HKEY_USERS』にあるログオンしたユーザのキーが『HKEY_CURRENT_USER』に設定されるだけです。
つまり通常は『HKEY_USERS』と『HKEY_CURRENT_USER』は対の関係になっています。
『HKEY_CURRENT_USER』が修正されると『HKEY_USERS』にも反映されます。


それでは『HKEY_CURRENT_USER』の方を修正しましょう。
先ほどのキーエントリを削除するだけです。
当該キーの削除


これで駆除完了です。


4.おまけ
山田ウイルスのsvchost.exeはPC6台からの同時アクセスによりエラーが発生しました。
エラー
実験機が低スペックPCなのも理由の一つですが、山田svchostは負荷に対してあまり強くないようです。
ちなみにこのエラーで終了するのは山田svchostであって、システムのsvchostではありません。
一旦エラーで終了したら、感染者は束の間の快適ネットライフを送ることができます。


Topへ戻る