第3回山田ウイルス感染レポート

第3回山田ウイルス感染レポート

今回使用したウイルス検体の情報は、山田ヲチスレより頂きました。
この場で改めて御礼申し上げます。

準備
感染
確認
ヲチ
駆除
その他

1.準備
今までと同じなので省略します。
なお今回使用したウイルス込みファイルは『(成年コミック) [犬星] いもうとぱんつ.zip』です。

2.感染
本題はここからです。
早速山田ウイルスが仕込まれたファイルを解凍してみたいと思います。

解凍中のアイコンは実行ファイルのものとなっています。

今回もフォルダアイコンに偽装された実行(exe)ファイルです。
しかし、そんなことは関係ありません。
気になるものをクリックしてしまうのは、人のサガというものです。

この辺りの動作は毎回同じですね。
しかし、この時タスクマネージャーを開いてみると面白いものが見られます。

『(成年コミック) [犬星] いもうとぱんつ(空白).exe』が裏でなにやら動いています。
まさにウイルス感染中の瞬間です。

それでは恒例となった中身の確認を…

『ふたりエッチ』だと！？
『いもうとぱんつ』はどこへ行ったー！？

…気を取り直して、上のフォルダに戻りましょう。

今まで同様、今回も自己解凍型圧縮ファイルでした。
フォルダ偽装以外のタイプに中々遭遇できません。

それではタスクマネージャーで確認してみます。

ログオンユーザ名『ハマー』で動いているsvchost.exeが、今回も新たに作られています。

ウイルス感染を確認しました。

3.確認
さて、ここでいったんウイルスから離れて、Windowsを更新してみましょう。
スタートメニューからWindowsUpdateを選択します。

これはこれで、セキュリティホールやらバグやらが存在していそうです。
しかしアップデートは難しそうですね。
ボソ)別に批難しているわけじゃありません、支持してますよ？

どうやらhostsファイルも改ざんされている模様です。

それでは山田チェックツールを使ってチェックしてみましょう。
今回のバージョンはα6.2、毎度毎度ご苦労様です。

ログをコピーします

OSバージョン：Windows XP Service Pack 1
詳細なOS情報： Version5.1 Build:2600 Service Pack 1
チェック結果：
OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
svchostエントリが見つかりました。
ファイルパス："C:\Program Files\Microsoft Office\Office\Shortcut Bar\svchost.exe"
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に偽装EXEらしきエントリを発見しました

HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイルが改変されている可能性があります

All Userスタートアップ検索開始
All Userスタートアップ検索終了
共通スタートアップに問題はありません

個人スタートアップ検索開始
個人スタートアップ検索終了
ユーザスタートアップに問題はありません

Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイルが改変されている可能性があります

検索結果：
山田ウイルスに感染している可能性があります。
詳細は  http://www3.atwiki.jp/yamada/ まで。
疑惑箇所：
レジストリ(HKEY_LOCAL_USER)
HOSTSファイル
Boot.ini


判定：(´･ω･) ｶﾜｲｿｽ

レジストリとhostsファイルに続いて、ついにBoot.iniファイルが改変されました。

hostsファイルは次のように改ざんされていました。

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
127.0.0.1	localhost


210.253.211.2 avp.ch
210.253.211.2 avp.com
210.253.211.2 avp.ru
210.253.211.2 awaps.net
210.253.211.2 ca.com
210.253.211.2 customer.symantec.com
210.253.211.2 dispatch.mcafee.com
210.253.211.2 download.mcafee.com
210.253.211.2 download.microsoft.com
210.253.211.2 downloads.microsoft.com
210.253.211.2 engine.awaps.net
210.253.211.2 fastclick.net
210.253.211.2 f-secure.com
210.253.211.2 ftp.f-secure.com
210.253.211.2 ftp.sophos.com
210.253.211.2 go.microsoft.com
210.253.211.2 housecall-t.activeupdate.trendmicro.com
210.253.211.2 kaspersky.com
210.253.211.2 liveupdate.symantec.com
210.253.211.2 liveupdate.symantecliveupdate.com
210.253.211.2 mast.mcafee.com
210.253.211.2 mcafee.com
210.253.211.2 media.fastclick.net
210.253.211.2 msdn.microsoft.com
210.253.211.2 my-etrust.com
210.253.211.2 nai.com
210.253.211.2 networkassociates.com
210.253.211.2 office.microsoft.com
210.253.211.2 phx.corporate-ir.net
210.253.211.2 rads.mcafee.com
210.253.211.2 secure.nai.com
210.253.211.2 securityresponse.symantec.com
210.253.211.2 service1.symantec.com
210.253.211.2 sophos.com
210.253.211.2 spd.atdmt.com
210.253.211.2 support.microsoft.com
210.253.211.2 symantec.com
210.253.211.2 trendmicro.com
210.253.211.2 update.symantec.com
210.253.211.2 updates.symantec.com
210.253.211.2 us.mcafee.com
210.253.211.2 vil.nai.com
210.253.211.2 viruslist.com
210.253.211.2 viruslist.ru
210.253.211.2 windowsupdate.microsoft.com
210.253.211.2 www.avp.com
210.253.211.2 www.ca.com
210.253.211.2 www.f-secure.com
210.253.211.2 www.kaspersky.com
210.253.211.2 www.mcafee.com
210.253.211.2 www.my-etrust.com
210.253.211.2 www.nai.com
210.253.211.2 www.networkassociates.com
210.253.211.2 www.sophos.com
210.253.211.2 www.symantec.com
210.253.211.2 www.trendmicro.com
210.253.211.2 www.viruslist.com

それでは偽装svchost.exe本体のある場所を確認してみます。
今回もチェックツールの『プロセススキャン』機能を利用します。

チェックツールが示したレジストリの『偽装EXEらしきエントリ』のパスと一致しました。それでは『C:\Program Files\Microsoft Office\Office\Shortcut Bar』を開いてみます。

続いて、改変されたBoot.iniファイルを見てみましょう。スタートメニューから『ファイル名を指定して実行』を選び『msconfig』と入力します。

次のエントリが追加されています。

[mellpo]
n=kita-

山田ウイルスに間違いありません。

4.ヲチ
それでは恒例となった、外部からをヲチです。

初期のタイプらしく、~ss.jpgへのリンクがありません。
しかし存在はしているので、URLを入力すれば見ることができます。

それではC.htmlの方も見てみましょう。

大抵はsvchost.exe自身を隠すのですが、今回のタイプは丸見えです。

ヲチの締めはやはり山田砲で。

最近はヲチを楽しむ『だけ』の人が増えました。
『（´・ω・）ｶﾜｲｿｽ』の精神を忘れてはいけません。

5.駆除
それでは最後に駆除作業に取り掛かります。

まずはログオンユーザ名で動いている『svchost.exe』を停止させます。

次に山田ウイルス本体およびフォルダを削除します。

WindowsUpdateで民主党のサイトに行きたくないのなら、hostsファイルを修正します。
チェックツールのボタンを押すだけです。

必須なのはここまでです。
あとはおまけ程度のことなのですが、中途半端が気持ち悪い方はこのまま作業を続行させて下さい。

まずはレジストリの修正作業からです。
レジストリエディタを起動して、チェックツールが示した次の場所を見てみましょう。

+HKEY_CURRENT_USER
　+Software
　　+Microsoft
　　　+Windows
　　　　+CurrentVersion
　　　　　+Run

値の名前が『hoge』、値のデータが『"C:\Program Files\Microsoft Office\Office\Shortcut Bar\svchost.exe"』となっているキーを削除します。
重要なのは、データの示している場所がウイルス本体であるということです。

続いてBoot.iniファイルの修正です。
Boot.iniファイルは『C:\boot.ini』に存在します、が…

初期状態ではシステムファイルであるBoot.iniは表示されません。
ですので修正するには、最初にシステムファイルを可視にする必要があります。
設定変更は『フォルダオプション』から行います。

『システムファイルを表示しない』のチェックを外します。
すると、今まで表示されなかったファイルも表示されるようになります。

この中から『boot.ini』を選択し、開きます。

追記された部分を削除し、保存します。

後は、『システムファイルを表示しない』の設定を元に戻すだけです。

再起動して、ログオンユーザ名で動いている『svchost.exe』が無ければ駆除完了です。

6.その他
今回感染した山田ウイルスは、

TROJ_DROPPER.BT (トレンドマイクロオンラインスキャン)
Trojan horse BackDoor.Generic.BPO (AVG)

として検出されます。
山田ウイルスとしては、比較的初期のタイプに分類されます。

Topへ戻る