OREZZO.COM 's Blog

Archive for the 'ウィルス対策' Category

ウイルス対策はどこまで・・・

Author: 管理者

11 18th, 2009

巷では、新型インフルエンザの流行にみんな神経を研ぎ澄ましているが、PCへのウイルス感染にはなかなか気づかないし、それほど危機感がないように感じる。

実際、ウイルスに感染したからっていってどんな問題があるのか、よくわからないってのが正直な感想でしょう。

そんななか、ウイルス感染かな？　って感じたものを、時々メモ書きしておきます。

RUNDLL エラー
jwgkvsq.vmx が読み込み中にエラーが発生しました。
指定されたモジュールが見つかりません。

コンフィッカー対策に関する白書～USB関連ウイルスに注意 によれば、jwgkvsq.vmx とは、USBメモリ関連ウイルスであるコンフィッカーであるようだ。

ウイルス対策インターネットセキュリティ G DATA:
http://gdata.co.jp/press/archives/2009/02/usb.htm

- 以下抜粋 -

コンフィッカー対策に関する白書～USB関連ウイルスに注意 2009.2.25

　 G DATA Software株式会社（代表取締役： Jag 山本、本社：東京都千代田区）は、ここ12か月において、最も巧妙で危険度が高く、かつ、世界中で注目を集めているマルウェア（ワーム）の一つである「コンフィカー（Conficker）」について、以下、白書の形でレポートいたします。

　コンフィッカーは、他国と比べると日本ではまだ著しく目立つ動きにはなっていないものの、 2009年1月22日には警視庁のオンラインシステムの端末に使用されているPCから発見されるなど、今後、更なる増加の恐れがありますので、十分な注意が必要です。

コンフィッカーの現状
　コンフィッカーとは、ワームの一種で、昨年10月にMicrosoftがパッチ提供をしたWindowsのRPC（＝リモートプロシージャコール）サービスの脆弱性「MS08-067」を悪用するマルウェアです。別名として、ダウンアド（Downad）、ダウンアドアップ（Downadup）、キド（Kido）などがあります。
　Microsoftがウイルス製造者の逮捕につながる情報提供者に懸賞金を出すという発表をしたことにより、一般的によく知られるウイルスとなりました。
　類似したものに、2007年から2008年にかけて爆発的に拡散した「オートラン」と呼ばれるマルウェアがあります。今年に入ると、オートランよりもコンフィッカーが増加しています。
　コンフィッカーはまず、細工されたクエリー（処理要求）をコンピュータに送信し、コンピュータに脆弱性があれば、不正コードをコンピュータに送りつけます。感染したコンピュータにはHTTPサーバがインストールされ、細工されたクエリー、場合によっては感染ファイルを、他のコンピュータに送ります。
　偽メッセージで商品を買わせるようなスケアウェアなどもインストールされる場合があります。
　コンフィッカーは、単純なパスワードでしか保護されていないローカルネットワーク内で拡散し、USBメモリ、外付けハードディスク、デジタルカメラなどのオートスタート機能を悪用します。
　甘いパスワードとオートスタート機能。この2つの特徴を活用してコンフィッカーは巧みに万延しているのです。
　EU諸国ではすでに、ドイツのケルンテルン州における3000台の感染を筆頭に、オーストリアやイギリスの病院、フランス海軍のコンピュータなど、数多くの場所で被害が起こっています。
　また、ボットネットサーバとの接続が途切れないよう、コンフィッカーは日付を使って、「ejzrcqqw.net」「doxkknuq.org」「ytfvksowgul.org」といったようなドメイン名を日々250ほど作っています。
　最近のこの感染の広がりを見ると、コンフィッカーの作者は、新たなボットネットの基礎を作りあげたと考えられます。ボットネットを操作する側にとって大量の感染したコンピュータの存在とは、攻撃準備が整った状態を意味するのです。

感染の規模
　感染の規模については、現在、少なく見積もっても数十万台、多ければ数千万台のコンピュータが感染していると予想されます。しかし、これ以上の正確な数字の把握は困難です。なぜならば、多くの感染したコンピュータがコントロールサーバと接続され数倍に数えられていたり、会社のネットワーク内の複数台のコンピュータが1台と計算されることもあるからです。
　正確な数字は出ないとしても、今回の拡散の仕方は、メールやインターネットを通じた感染だけではなく、USBメモリなどを介していることもあり、潜在的な感染数はもっと多い可能性もあります。
　これは、USBメモリが、ネット犯罪者たちにとって、拡散のための有用な道具とみなされていることを意味しています。

対策方法
　2008年10月に、Microsoftの発表によって、コンフィッカーがOS内の脆弱性を悪用しうるということが判明しました。それ以来 Microsoftは、関連のアップデートを提供していますが、多くのネットワーク管理者は適切な対応をとることができず感染を許しています。
　また、もう1つの重要な点は、ネットワークやアカウント用パスワードに「12345」や「admin」「zzzzzz」といったような簡単なパスワードを設定している場合が、意外と多いということです。
　更に、多くの企業ではUSBメモリの利用などに関する規則がそれほど明確にとり決めていない、というのも拡散を助長させている理由の一つです。
　オートスタートのメカニズムは、ほとんどのコンピュータにおいて有効に働き、コンフィッカーやUSBウイルスをはじめとした不正プログラムの拡散の原因となっています。メールやインターネットに関するセキュリティは一般的には強化されているので、使い勝手がよいためにデータの受け渡しで利用されている USBメモリを感染ルートに組み込んだと言えるでしょう。
　また、OpenDNSは興味深いサービスを提供しています。OpenDNSは、ネットワーク内のコンフィッカーに感染したコンピュータを認識し、日々新しく発生するボットネットドメインへのアクセスをブロックするサービスを提供しています。このサービスによって、ゾンビPCは感染してしまったゾンビPC であっても、仕掛け人からの指示がなければ休止状態にすることができます。

コンフィッカーの検知方法
　アンチウイルス製品のワクチンが最新の状態に更新されていれば、コンフィッカーは検出することが可能です。しかし、システム内にバックドアが潜んでいたり脆弱性が閉じられていなければ、感染する危険があります。
　コンフィッカーは「jwgkvsq.vmx」や「vfgthjki.rst」やといったような、ファイル名にランダムな文字の組み合わせが使われるので、検出は困難です。
　レジストリが変更されるのは、以下の箇所です。

HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\
Services\ [Random name for the service]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\
Services\[Random name for the service]\Parameters
ServiceDll = „[Path and filename of the malware]“

HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
　
　下記のようなセキュリティサービスが機能しないことで、感染に気づくことがあります。

• Windows Security Center
• Windows AutoUpdate
• Windows Defender
• Error Reporting Service

　「ウイルス」や「スパイウェア」といった文字列や「マイクロソフト」や「G DATA」をはじめとしたアンチウイルス製品の名前など、以下の文字列のあるウェブサイトへのアクセスができなくなります。

「virus」「spyware」「malware」「rootkit」「defender」「microsoft」「symantec」「norton」「mcafee」「trendmicro」「sophos」「panda」「etrust」「networkassociates」「computerassociates」「f-secure」「kaspersky」「jotti」「f-prot」「nod32」「eset」「grisoft」「drweb」「centralcommand」「ahnlab」「esafe」「avast」「avira」「quickheal」「comodo」「clamav」「ewido」「fortinet」「gdata」「hacksoft」「hauri」「ikarus」「k7computing」「norman」「pctools」「prevx」「rising」「securecomputing」「sunbelt」「emsisoft」「arcabit」「cpsecure」「spamhaus」「castlecops」「threatexpert」「wilderssecurity」「windowsupdate」

　ネットワーク管理者は、ポート番号455で増えるトラフィックで、感染コンピュータをみつけることができます。感染後は、コンフィッカーは感染したコンピュータのIPアドレスを以下のサイトの一つから呼び出し、調べます。

• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org

　アップデートのアドレスは、日付を使うことによって、以下のドメインから計算されます。

• ask.com
• baidu.com
• google.com
• msn.com
• www.w3.org
• yahoo.com

　このドメインにアクセスするコンピュータは、感染の危険性があります。

コンフィッカーの除去方法
　一旦コンフィッカーに感染したシステムをクリーンにする方法については、以下のMicrosoftの URLを参照してください。

http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

　コンフィッカーは複雑な構成で、システム内の複数箇所を同時攻撃し、削除作業も手間がかかります。そこで、アンチウイルス製品をインストールしてスキャンをかけるか、もしくは、最新バージョンのMSRT（悪性ソフトウェア削除ツール）の利用をお勧めします。

http://www.microsoft.com/japan/security/malwareremove/default.mspx

まとめ～コンフィッカーに感染しないために

１）Windowsのアップデートを最新のものにする
２）ユーザーアカウントと共有ファイルのパスワードを複雑なものに変更する
３）G DATA製品をはじめとしたウイルス対策ソフトを使用する
（ワクチンを最新の状態にし、ハードディスク全体をウイルススキャンする）
４）USBメモリを使用する前にウイルススキャンをかける

G DATA Malware Whitepaper: Questions and Answers to Conficker
Copyright (c) 2009 G DATA Software AG

リムーバブルディスクを挿したとき、通常であれば、

リムーバブルディスク(F:)

このディスクまたはデバイスには、複数の種類のコンテンツが含まれています。

Windowsが実行する動作を選んでください。

画像を印刷する: 写真の印刷ウィザード使用
イメージのスライドショーを表示する: Windows ピクチャとFAXビューア使用
画像を閲覧する: ****使用
フォルダを開いてファイルを表示する: エクスプローラ使用
何もしない

OK キャンセル

それが、

リムーバブルディスク(F:)

このディスクまたはデバイスには、複数の種類のコンテンツが含まれています。

Windowsが実行する動作を選んでください。

フォルダを開いてファイルを表示する: デバイスで提供されたプログラム使用
画像を印刷する: 写真の印刷ウィザード使用
イメージのスライドショーを表示する: Windows ピクチャとFAXビューア使用
画像を閲覧する: ****使用
何もしない

OK キャンセル

ここで出てきた デバイスで提供されたプログラム使用を選択し、クリックすることでウイルス感染が行わるようです。（USB内の autorun.inf が問題！）

最初に記述した RUNDLLエラーは、アンチウイルスソフトが、その実行ファイルの動きを停止してるようです。

read comments (0)

ITpro: セキュリティ・ホール＆ウイルス対策の情報

Author: 管理者

11 5th, 2009

セキュリティ・ホール＆ウイルス： ITpro:
セキュリティ・ホールやそこを突く最新攻撃手法と，対策術を掲載するセキュリティ・サイト。
日経BP社が運営する，ITプロフェッショナルに向けた総合情報サイト「ITpro」が提供
http://itpro.nikkeibp.co.jp/securityhole/index.html

犯罪マーケットを背景に，ウイルス/ボットは次々に登場する。しかも完成度が高く，ユーザーをだまして感染させる手口も一層巧妙になっている。ユーザーに気付かせずにウイルスやボットを忍び込ませる，いわば“見えない化”が進んでいるのである。ユーザーが自己防衛するには，新しいぜい弱性や攻撃方法の情報を素早くキャッチし，攻撃への備えを整える必要がある。本サイトでは，最新のぜい弱性やインシデント，パッチに関する情報をピックアップしてお知らせする。

read comments (0)