zlkonウイルス擦れ

まったり解析

gdgdで他板住民であふれかえっている本スレ
http://pc11.2ch.net/test/read.cgi/sec/1242611652/

検体は？
そもそも今流行してるタイプが前回のタイプと同じなのか違うのかくらい書けよ
同じならリカバリって結論が出てるしこのウイルスの挙動も大体わかってんだろ

あきた

感染確定サイト (14)

senn特殊光源 www.senlights.co.jp/index.html
livmail www.livmail.com/3others-page/janet/tokusen/index.htm　既出
スカイハイプレミアム skyhighpremium.com　追加
Carwash http://www.carwash.co.jp/　既出
成美○出版 www.seibidoshuppan.co.jp/　既出
Akemi ○ayashi Website replica08.web.fc2.com/ 既出。チェッカで1000％
主上支局 http://ssfos.hp.infoseek.co.jp/
テイアラモード www.tiaramode.com　ここも散々既出でしょうけど
ペットの姓名判断のサイト www.laqoo.net/kyouun/pet/index.html
帰ってき○三日天下 mikkatenka.sakura.ne.jp/　黒
烏骨鶏 www.ukokkei.co.jp　確定
株式会社まどか www.madoka-soft.co.jp　ここも
リボンマジック www.ribbonmagic.com　発端だと言われているサイト、チェッカー結果1000%で真っ黒
Replica replica08.web.fc2.com/index.html 感染確定サイト、対処予定ですが現在真っ黒。


感染対策済みのサイト(10)

・小林製薬
・BIG-server.com】
・ウェルネス（医療情報提供企業）
・薬事日報社
・国交省中部地方整備局岐阜国道事務所
・全日本民医連
・総合ホビー展示即売会「ホビコン」
・GENO（PC通販ショップ）
・NHT紀尾井町グループ（自毛植毛斡旋企業）
・SayMove！
・ライブハウス「あさがやドラム」

何故かほっとするスレタイだな

GENOウイルススレから来ました
ここでいいのかな？

今北産業

GENOウイルスって書かないと何のことかわからないよ

GENOでやると変なの来るからな。
某サイトの青板でも２人質問者来てたね

流行ってるのはauxに不正な値が設定される奴だろ？
一番駆除が楽なタイプだと思うんだが

>>10
来てたな
案内で終わってしまったが

>>11
UnderForge of Lackにもあるけど
AUXの値を正常値に戻し不正に設定されていたファイルを削除が海外でも一般的。

>>10
何で伏せるん？

あんだーさんの所は完全に安全とはいいっきってない
一応追記しておく

↑13ですた

このウィルスの動作って、webページに埋め込んだ難読化スクリプトで
サイト外に置いてあるflashやadbe readerの脆弱性をつくファイルを読ませる
ってことでいいんだろうか？

>>17
動作というか感染の引き金となる動作はそれであってる

>>14
向こうの人手不足に加え
アホが大量に流れ込んで質問だらけになるかもしれないし

tｈｘ

今更だけどMBAMとBleeping Computerのフォーラムにも症例あった
やっぱ向こうにもいるみたいね

今回のウイルス騒動は豚インフルエンザと似てる
感染力は異常に高いが致死性は低い(駆除はそれ程難しくない)
やたらと世界の終わり見たいに騒がれてるけどww

>>22
駆除が難しくないんじゃなくて感染を防ぐのが難しくないの方が正しい
防ぐ方法がソフト最新にするだけだから
駆除は一回感染されたらクリーンインストールしか無理

>>23
なぜ無理なの？
駆除が無理ならどこのサイトも駆除方法載っけたり駆除指示出さないと思うけど

>>24
駆除方法なんて乗ってるサイトあるのか？
このウイルスはファイルを操作したら自分を削除するんだぞ？
サイトとPCの駆除を一緒にしてるのか？

>>24
その駆除方法ってサイトのコードを消す方法じゃないのか？
サイトのコード消してもPC感染してたらまたコード書かれるんだぞ

>>25
変種にでもなってなきゃGENOウイルスは駆除可能

>>24
あれだけ駆除できないって言われてたのに？
駆除方法乗ってるサイトってどこ？教えて〜

>>27
GENOウイルスのテンプレに
◇感染してるっぽい場合
　ＯＳクリーンインストール一択
って書いてあるけどこれは嘘なのか・・・

実際感染実験すればすべてわかるだろ
感染実験ようにHP立てて感染して駆除→駆除後FTPのパス変えてHPを修復して
元に戻ってなきゃ99％大丈夫と言えるだろ

そうですかーすごいですねーかっこいいー

>>31本スレに帰れ

AUXに設定された値のファイルが主な動きをするのは確か。AUXのファイルを消してレジストリを修復すれば症状が収まるのも事実
ただそれだけで駆除出来たと確信するのは危ないという意見があるのが現状

>>25
海外フォーラムでの感染例、駆除例
http://www.malwarebytes.org/forums/index.php?showtopic=13430&st=0
http://www.bleepingcomputer.com/forums/topic208323.html
http://www.malwarebytes.org/forums/index.php?showtopic=15164
http://www.myantispyware.com/2009/02/19/how-to-remove-google-searches-redirect-via-7770-remove-rootkitwin32agentfwt/
http://www.geekstogo.com/forum/Malwarebyte-will-not-update-Google-redirect-t236833.html
http://www.security-forums.com/viewtopic.php?p=298645

向こうじゃgoogle redirect virusで
（すべてのgoogle redirect virusがzlkon gambler系の物ではない）

>>34
やっぱAUXの修正、設定されていたファイル削除で終わってるね

なんか他スレは情弱ばっかだね

GENOウイルス＝JSRedir
って勘違いしてるやつ多そう

前GENOウイルスに感染してホームページ改変？されて
怪しいAUXと設定されてたファイルをセーフモードで駆除、sqlsodb入れ替えたら
改変されなくなったんだけど完治でいいの？

>>38
観測されただけでもあれだけ更新を してた／してる 犯人である。
かなりのバージョンを手に入れた者や、
ある程度のバージョン群を解析／把握した者はいるかもしれないが、
全てのバージョンを手に入れたと断言できる者はAntiVirベンダにすらまずいまい。
いわんや、全てのバージョンの挙動を完全に解析／把握したと断言できる者なんぞ。

そうした本質を理解していれば決してそんな質問をするはずはない。
そんな貴方に贈れる言葉は「完全を求めるならクリーンインストールしろ」のみである。論理的に。

レジストリのスタートアップ項目の不審なエントリーを削除。
Documents and Settings\user\Local Settings内の
意味不明なファイル、例えばxxxxx.ydhとかxxxxx.yhdとかないか確認。
怪しいファイルがあったらリネームかデスクトップ等に移動してみる。
移動できなかったり、移動できても、すぐに復活するようなら完治してない。

探したらaux2ってのあったけど？これは？
パスに設定されたtmpファイルはもうありませんでした

>>41
もっとも普通に考えられるのは、駆除済み状態

徹底的に神経質になるなら、外付けブートして、そのフルパスが生きてないことを確認する
それでみつかるなら、GENO系には単体でルートキット性能はないので、複合感染か亜種感染。

>>39
厳しいのう。
でも、ま、なにかあるたびに、さくっとWindows再インスコできる態勢ってのは、ある意味最強だね
いやほんと。ネット端末は2時間でフルインスコできるよって人は、環境を放棄する決断が早いｗ

>>38
ポジティブにいえば、【たぶん】それでおｋ ただし、複合感染してたら、その分は別途対策してね

びくびくしながら使うぐらいないら、黙って再インストしとけ。

安心して使えることが一番大事だ。

・パソコン内の改変・乗っ取り
・FTP ID/PASS抜き
両方修正しないといけないからな。。。

やっと落ち着き始めたみたいね

>>42
再インスコまでしなくてもTIなりを使って復元すれば良いだけ。
時間も再インスコほどはかからん。

定期的にバックアップするのを苦にするなら再インスコしかない。
利便性と安全性は反比例するものだ。

直前までのメールとか、ブクマとかを放棄しろっていうのを、どこまで初心者ができるかになるんだよな
イメージバックアップの数少ない弱点ではある

ここに移ってみるテスト。

WSH版の方に期待しつつ、WSH版では厳しいかなという辺りの提起を試みてみる。
drv32listdotdotexist_v001.LZH
ttp://www1.axfc.net/uploader/Sc/so/3917
testDRV32LST

SIZE (drv32listdotdotexist.exe) = 5120
MD5 (drv32listdotdotexist.exe) = 6695895f4d990f4c74ee172baa39b853
SHA1 (drv32listdotdotexist.exe) = 8eb02929e5a16633b3370ee44aad818f74054b75
SHA256 (drv32listdotdotexist.exe) = c48700c1e325b8e94dec507be147df65a8acf558607f0083e7a5a5ad8f8aeb4e
SHA512 (drv32listdotdotexist.exe) = 99e619da205173dae328f48aaa259d58a0bb6e42451c2192c0f0b4431e3de141054a097152758d68cbae18102a4779aa525e0e3af2e965fc10e3c910f430eb02

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の値(auxとかmidiとか)で、REG_SZ(だけでいいと思うが一応REG_EXPAND_SZも)
かつ \..\ を含み、かつ ファイルが実際に存在するものの列挙をファイルに保存。
普通に考えるとWSHで充分可能な内容だと思われるわけだが、
　・Administrators所属のuser1で感染、aux2 辺りに
　　C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo
　　とある。
　・Usersのみに所属のuser2でdrv32listdotdotexist.exeを実行。
という時にも、C:\DOCUME~1\user1\LOCALS~1\Temp\..\hogemoge.foo の存否を
正しく判定できるはずなんだな。
これはWSHだとちと厳しいんじゃなかろうかと思うがそうでもないのかね。

まぁ、zlkon系自体は犯人の活動再開があるなら、
今度は亜種ではなくガラっと変えて来そうな世情になってきた感はあるけども、
今後の各AntiVirベンダの製品の検出能力が追いつくまでのタイムラグ全般に
どの程度のことができ得るのかというのを、zlkon系をサンプル事例と捉えて
うだうだと検討してみるような何か。

>>48
乙ｗ

とりあえず移動おつー
WSH版は、しゃーないからやってみだしたことであって、ネイティブ常に最強ｗ
やっぱりたのしいのはC++&インライン汗でしょ

雑談。\..\ は、実行位置によっては、必ず出現するわけじゃないですｗ
%temp%\..\ になりやすいのは、%temp% で実行されるからなんでしょうね
ルートディレクトリで実行されると、ルートに本体を吐きます
これは試してはないのですけど、anubis の自動実行ログを見るとわかると

>>50
ごめん、俺、C++じゃなくてCで書いてるｗ
VC++じゃなくてmingw32なのでソース出せば金銭的な敷居はなしに
バイナリ再現実験もできるはずだったりはする。

一応、
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
は見て、
> - Registry Values Modified:
で
> Key
> 　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
> Name
> 　　aux
> New Value
> 　　C:\..\bgrn.mym
となってるのを当てにしてたりする。

まぁ、「%SystemRoot%の外」という条件の方がベターかもですね。

あれｗｗｗ > X:\..\
そうかキーのほうは、いつも\..\ がでるのかｗ 見落としてたｗ

あーたぶんそうだろうなーとｗ > mingw32

VC++も最近は、コマンドラインコンパイルセットはほぼ制限なく無償で手に入りますよ
PSDK にバンドルされてきます どっちも使えるようにしておくと便利かもです

ん？あぁ、ちょうどあっちがああなのね……。

>>52
まぁ、何にせよ\..\がない亜種が存在しなかったと断言することはできないわけですがｗ

んー、コンパイラの癖まで見なくても、
GENOdetect/envinfoの頃はスタートアップコードをリンクしてましたからね。

mingw32な理由の第一は単に慣れてるからですが、
スタートアップコードまで手を入れて削れるのが、
逆汗して読む人向けに余計なコード削れていいかなぁ、とか。
VC++EEもスタートアップコードのソース付いてくるんだっけ？
まぁ、結局スタートアップコード自体リンクしないようにしてしまったのであれですが。

おおっ、vtフルクリアｗ
スタートアップコードを削ると、結構ヒューリスティックにひっかかるのですがｗ

VCのライブラリソースは、製品版以上ですねー
ただし、評価版に、特にロックなく付属してくるので、緊急事態のときは参照できる退路はあります

>>48
２月っからずっと変わってないけど

>>55
んーと、常駐部を登録するコードが変化なしあるいは\..\を入れるという挙動が変化なし
ということかな。
まぁ、これまでそうだったとして、
今後もその犯人がそれだけであり続けるとは限らないし、ということで。


>>54
うーん、mingw32なのがいいのかなぁ……。　＜ ヒューリスティック
それよりは、C++だとライブラリはさておき、言語仕様的な面で
スタートアップコードでの初期処理必須な部分がいろいろあろうから、
それが削られてその不足から不可解と判断されてそうな気もしないでもない。
とかテキトーなこと言ってみる。

雑談。C/C++どっちでも、スタートアップコードはかわらんですｗ
かわるというか、例外まわりとか、RTTIまわりでリンクされる関数が増えます

mingw32でもスタートアップコード自体は共通なんだけど、
あー、とりあえずmingw32とは少々違うアプローチっぽい感じなんだな、きっと。
何にせよ、mingw32よりはVC++の方がネイティブな実装になってるだろうけど、
それでもC++はCより削れない処理が増えそうなイメージ。
例外やRTTIはg++で言う-fno-exception -fno-rtti 的なオプションで忘れられそう
だけど、new(/delete)の(後始末の)準備とか。

てことはやっぱり、PEヘッダの違いとか、セクション名(.idataとか)なんかで
VC++ではない判定されて緩くなっとるんかのぉ。
それはそれでなんじゃらほいな気はするが……。

ゲロゲロー

未だに駆除不可能とか言ってるバカはいないよな

初心者にはそう答えとくよ 多重感染してるかもしれんだろｗ
GENO系単体感染だという保証がどこにあるｗ

多重感染してるという保証もないだろ。
初心者だからと適当なことを言う方が無責任だよ。

初心者ってのは、｢もう安全ですって言ってください｣って言ってるのであって、
｢大丈夫って言われたのに、他のソフトでなんか(実はクッキとかｗ)でてきました！｣って騒いだり、
結構たいへん。

なので、実機直接見に行くよ

test

age

male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."

zlkonって何よ？

保守

保守