現在地 HOME > 掲示板
> IT7 > 264.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT7 > 264.html
★阿修羅♪
|
|
| Tweet |
(回答先: あなたのパソコンはゾンビになってませんか。 投稿者 元SEのおじさん 日時 2005 年 1 月 08 日 01:02:01)
この記事の日付は2004年の9月6日なので、既に4ヶ月過ぎています。ドッグ・イヤーのIT業界的に言えばもうかなり前の記事です。
現在は、もっとボット(ゾンビ)ツールは増えていますし、手口も進化しているはずです。
September 06, 2004
これが噂のゾンビPCか−ここまで来た不正カスタマイズ
http://blog.livedoor.jp/pasosavi/archives/6531432.html
<エピローグ>
80代の、自称「スーパーメガシニア」なお客様宅での業務でした。既に夜は更け、これからいよいよ、噂のSP2を導入しようとしていた、その時です。突然、「すいません…」との小さな声と共にふすまが開いて、そこに立っていたのは、お客様の20代のお孫さんでした。「SP2を当てたら、アプリがアップグレードできなくなったんですけど…」 ああ、ここにも犠牲者が… 当のおじいちゃんは大変不服そうな中、具合の悪くなったVAIOノートが持ち込まれてきました。なに、すぐに直るでしょう。なんとなれば、SP2をアンインストールしてアプリをアップグレード後、SP2を導入すればいい… しかしながらそれは、実は大きな間違いだったのです…
<ステージ1>
3台のパソコンでの同時業務は、1台がビデオキャプチャー導入でビデオ編集のレクチャー(さすがスーパーメガシニアでいらっしゃる)、もう一台がSP2の導入、そして3台目が、件のSP2導入で具合が悪くなったというVAIOです。スーパーメガシニアなお客様ですから、今回のSP2導入に異論はありません(というか、ご説明後ご納得)。こちらの導入準備のさなかに、その真後ろでSP2導入後の不具合の修復という、ゲイツ氏をお呼びしてご披露したいような舞台が整いました。 VAIOを操作するお孫さんは、さすがIT世代、いやメガスーパーシニアなお客様のお孫さんだけあって、パソコンを軽快に操作しつつ、不具合の様子を再現してくれます。ふむふむ… 旧バージョンのアプリをアンインストールしてから、新バージョンのアプリをインストールする必要があるのに、旧バージョンがアンインストールできない… もしかしたらAdministratorでログオンすればできるかも、とトライしましたが、効果なし…
<ステージ2>
これはソニーのサイトで障害情報を参照するしかないなと、該当のサポートページに飛びました。あった、ありました。SP2導入後の障害一覧… ところが、該当する障害が載っていないのです。「これは恐らく、まだ対策のない未知の障害ですね…」 まあ、とりあえず普通に使えているのであれば、あえてバージョンアップにこだわる必要もないのでは、という話をすると、そのお孫さんはやや言い難そうに、「いやー他にもおかしなところがあるんですよ」と。そういえば、何度か再起動を繰り返す中で、ダイヤラーが起動していましたね… じゃあそちらを解決しましょう。きっとすぐに解決しますよ、きっと…
<ステージ3>
system32を見たところ、表面的には異常なし。はて。今度はDownloaded Program Filesを見ますが、やはり異常なし… あのダイヤラーはどこから来たんだろう? IEを起動しようとすると、「それもうおかしいんで、こっちのブラウザ使ってます」とのこと。ははん。ブラウザ乗っ取りでしたか。直しても直しても、ブラウザの設定が変な設定にリセットされてしまうという、あれです。これは多くの場合、system32に打ち込まれたランダムなファイル名を持つdllファイルが悪の根源で、これを特定して消去しない限り、平和は決して訪れません。そのターゲット先は、トップページのソースの中にあります。それでソースを表示…できないんですねこれが。右クリックも不可。と、アドレスバーを見ると、ターゲットがもろ見えです。検索後、削除。IEレジストリリセットツールをかけて、WEB設定のリセットをして、再起動。再起動後、IEを開くと、おお、VAIOのトップページが! ところが…
<ステージ4>
何度かIEを開くと、なんとあの、憎憎しげで怪しげな、得体の知れないトップページに戻ってしまった… アドレスバーを見ると、別の名前のdllファイルが… なるほど。悪玉dllを呼び出している親玉dllがどこぞにいるに違いない… こんな二段構えのブラウザ乗っ取りは聞いたことがありません。悪い人はどんどんと新手を考え出すものです。かくなる上は最終手段、システムの復元です。ただし、これをすると、ウィルス対策ソフト等は、更新ファイルの日付の整合性が保たれなくなって、アプリごと再インストールが必要になったりします… 今回は仕方がなさそうです。お孫さんに確認を取ると、4ヶ月前ぐらいからこんな状態とのこと、よくもまあ4ヶ月もこんな状態で、と内心思いながら、システムの復元を開きました。すると…
<ステージ5>
普通に開くので、4ヶ月前に戻そうとするのですが、戻らない。戻せないんです。一番古い復元ポイントが今日だという。お孫さんも頭を抱えています。なぜなら、この方がシステムの復元のウィンドウを見るのは今日が初めてで、エクスプローラ上であっても、そんな隠しファイルは弄りたくても弄りようがない… そう、いつの間にか、復元が1日毎にリセットされるようになっていたという… これはもう間違いない、噂に聞いたゾンビPCです…
<プロローグ>
今頃、件のVAIOはリカバリーを受け、お約束通り、過去の記憶をすべて消されていることでしょう… とりあえず、今回はこれでおしまいです。でも、もし小生がクラッカーであれば、既に入手しているに違いないメルアド、IPアドレス(こちらはケーブルテレビ+ルータ)、その他の個人情報を駆使して、もう一度、あのVAIOを奴隷にしようとするに違いない… 恐らく次回は、今回のような派手なゾンビ化ではなく、ゾンビになっていることを決して悟られないような、さらに一層巧みな仕方のゾンビ化、でしょう。
たとえば、復元しても数日後には元の状態へ再復元してしまうとか…
これはもう、IT関連ホラーです…
◆用語:ゾンビPC
広い意味では、所有者の意図に反して、悪意ある第三者の命令に従うようにカスタマイズされてしまったPC。ウィルスに感染してトロイの木馬にバックドアーを開けられて不正プログラムがダウンロードされたPCは、DDos攻撃のゾンビ兵として使われる一方で、所有者の個人情報を勝手に送信したりする。不正な記述を含んだURLを踏んで不正プログラムを投下実行されブラウザが乗っ取られたPCも、しまいには今回のようにクラッカーにシステムをカスタマイズされ、クラッカーの言いなりになるゾンビPCとなる。
Posted by pasosavi at 03:00 │Comments(6) │TrackBack(1)
このBlogのトップへ │前の記事 │次の記事
この記事へのトラックバックURL
http://blog.livedoor.jp/pasosavi/tb.cgi/6531432
この記事へのトラックバック
私のお仲間の面白いお話が読めるブログがありますので,ご紹介します。どうぞ,よろしく。
私のお仲間の・・・【SeniorSE〓中年SE日記〓】at September 06, 2004 23:46
この記事へのコメント
お待ちかね?のブログでしたw
こちらで3人目ですね・・もう一人近々公開予定と何処かで見ましたが
読んでて楽しいですからブームになるのも頷けますね
ゾンビの件、先日ありました。
散々、弄ったあげくお手上げで
「お客様、大事なデータファイル等入れて有りますでしょうか?」
「全然、何も無いよ」
ニコッと
「すぐにリカバリしましょう、手順お教えますので」
弄って無駄な事がある事を知っただけでも、
無駄ではなかったと…思いたい
Posted by ike@九州 at September 06, 2004 07:59
私もそういうゾンビPCでのYBBの設定の経験があります。その時はパソコンの問題とは別に回線の問題もあったので某SCへ連絡して「問題が複数あって、一つは宅内の配線が・・・、もう一つはパソコンがゾンビになっていて・・・」と伝えました。コントロールパネルも開けない、右クリックもできないというかなりすごい状態。IEを立ち上げるとアダルトサイトしか表示できない。話を聞くと以前OCNで常時接続していて、その時に踏んでしまったようです。
すると担当の人がやたら熱心で「それじゃ〜ウィルスチェックしてみましょ〜」と軽く言ってくれました。まともに動作しないIEでなんとかシマンテックのサイトへたどり着いてオンラインスキャンすると出るわ出るわ。その指示の前に持参したスパイウェアの駆除ツールでも出るわ出るわ。一通りその場でできることをやりましたが、結局解決せずに作業中断扱いで退出です。
お客さんにはリカバリーが必要なことを伝えましたが、リカバリー後にパッチが当たっていない危険な状態でファイアウォールも無効のまま、ネットに接続するとまた感染しそうですね。
リカバリー→SPを当てる→ファイアウォール有効→Windows Updateという手順を踏んでから利用するといいのですが、訪問サポートを依頼する人にそこまで求めるのも酷ですよね。
Posted by frankrin_2nd at September 06, 2004 08:14
まずは祝!BLOG開設。
楽しみが増えました。
ゾンビネェ...。怖いですネェ 逢いたくないですネェ。
私は未遭遇ですが、文面からでも充分に匂いは嗅ぎ取れます。
まさに ありえない! です。
まだまだインターネットは黎明期なのですが、弊害の進行度が速くて 心配になっちゃいますね。
台風も近づき、関東も もしかすると大変そうですが がんばってどうぞ!
Posted by joey at September 06, 2004 19:40
どうも
石川@ぱそサビです
皆様のレスに深謝です :-)
今後共宜しくお願いいたします
それにしても
この二段構えのdll攻撃には辟易です…
しかも復元ポイントまでちゃらにするとは…
#この現象の詳細をご存知の方は
どうぞご連絡をお願いいたします…
技術者として心情を言えば
あのVAIOを持ち帰って
徹底的に精査検証したかった…
とはいえクラッカーと付き合うそんな時間は
お客様にもメーカーにも我々にもない…
#王道(結論)はやはり
バックアップとリカバリー
Posted by 石達夫 at September 06, 2004 20:50
お仕事お疲れさまです。
遊びに来ました。今日は,台風18号の影響の中,2件の業務でした。
2件ともすごかったです。朝8時からのヤツは,私のブログ人に書きまし
たので,ご覧くださいね。代理店様の名前は,きちんと控えてあります。
もう1件は,ゲームセンターでした。
ネットワークの設定と導通は確認できたのですが・・・。ゲーム機筐体が
オンラインできないと言うことで,店長以下スタッフが右往左往してました。
どうやらLANケーブルに問題があるということが判明するまでの約2時間,
ゲームセンターで軟禁状態でした。
ゲームセンター業務は2件目ですが,ネットワークにつながりやすいメー
カ,つながりにくいメーカーがあるようですね。
明日は台風18号の影響が心配ですが,2件業務が入ってます。
これからもちょくちょく遊びに来ますね。
Posted by misternory at September 06, 2004 23:55
どうも
石川@ぱそサビです
トラックバックに深謝です :-)
小生もお返しトラックバックしました
リンクも貼らせていただきましたので
健全なIT社会を目指して
お互いに励んでまいりましょう :-)
題名には必ず「阿修羅さんへ」と記述してください。