http://www.asyura2.com/10/bd58/msg/351.html
| Tweet |
(回答先: 健康警告マニュアル PCの防御 追加b マイクロソフト社は、巨大な個人情報の収集管理機構か 投稿者 あのに 日時 2010 年 6 月 23 日 09:59:03)
ウイルスに犯された某ネットカフェ、その後の顛末記 その1
サイバーテロの目的
かれらサイバーテロチームが狙うのは皆の不安感の醸成なのだ。実際のテロも同様だが、誰か不明者からのサイバーテロで、ネット社会がおびえることを狙っている。これはインターネット暴力団だ。このサイバーテロチームの手で多くの人がネットから離れたことだろう。
◎ [注意]
無料ウイルス・スキャンソフトを落とすときに、マルウエアが自動インストールされないか注意したほうがよい。
このマルウエア「S.ISODAウイルス」が実行されたら、フォルダーオプションの隠しファイル変更ボタンが効かなくなるので感染がわかる。
もしこの場合USBメモリーをさしただけで、「S.ISODAウイルス」(autorun.infウイルスの改造版)に感染する。隠しファイルがUSBメモリーを通じて、つぎつぎにPCを汚染していく。マスター・ブート・レコーダーMBRが改変され、Rootkitがインストールされるので、通常のウイルス検知ソフトにはひっかりにくくなる。Rootkit検知に、特化した GMERとかRootkitRevealer などを使う必要がある。そして、カーネルの奥にインストールされているので、OSの再インストールしか手段はない。
それでは経過を報告しよう。
6月23日(水)に某ネットカフェにおいて、「S.ISODAウイルス」 が全PCに感染している投稿をした。Rootkit検出の GMERというソフトで感染の警告が出て、オンラインスキャンでも、再起動したシステム内にJS.Downloader.pm.56588が感染していることを知った店長さんはノイローゼ状態である。他のいろいろな客も、ウイルス感染に気付いて店員に報告し始めて、大騒動になっている。この阿修羅の私の投稿を読んだのかも。少なくとも、このネットカフェからは、USBメモリーを通じて「S.ISODAウイルス」(autorun.infウイルスの改造版)や画像ファイルのサムネイル隠しマルウエア版Thumbs.dbが広く拡散しているようだ。
店長さんは,いま思いもかけぬ出費、全PCの修理という難題に頭を抱えている。
その後、6月26日(土)に某ネットカフェに行ったとき、店員さんから、フォルダーオプションの隠しファイル変更ボタンが正常に動作するPCがあるときいてびっくりした。というのは、少し前にそのPCは効かないことを確認していたからだ。そして、店側ではそのPCは一切何も触っていないときいたのだ。
今日は、その1台だけが、一見正常で、GMER ではrootkitはなにも検知しない。そして隠しファイル変更ボタンが正常に動作する。しかしexplorer.exe の再起動が効かない。何かが奥に潜んでいる。すなわち、「S.ISODAウイルス」 がバージョンアップされているようだ。見るとウィンドウズ・インストーラー( msiexec.exe Windows installer ) が起動したらしい跡がある。この2日間ほどで、その秘密アジト(代官山の某ゲーム音楽IT会社の重役オフィイス)からリモート・コントロールでGMERにひっかかる Stealth MBR rootkitをはずして、ひっかからないタイプのマルウエアに入れ替えたのだろうか。VNCをつかっているのか。
某ネットカフェから出る時に、もう1台正常に見えるPCがあったと聞いた。私は店員さんに、もうすこしたてば全部のPCが正常になりますよ(笑)向こうから遠隔操作で全PCのウイルスを全部削除しているかもしれませんが、でも検知できないマルウエアに取り替えられただけの可能性が濃厚ですよ、証拠が残らない巧妙な方法に切り替えているのですよ、と話しておいた。しかし、もうすこしたてば全部のPCが、さらにさらに異常になるかもしれないなとも、思ったが、それは言わなかった。
どうやらハッキング・スーパーバイザーはここ某ネットカフェを実験場にして、見つからないマルウエアの開発をしているらしい。会社の仕事はそっちのけで(笑)マルウエアの開発に熱中しているらしい。すこしづつ私がネットにあげる情報を参考にして、改良してバージョンアップしているようだ。
かれらが狙うのは皆の不安だ。実際のテロと同様に、誰か不明者からのテロでネット社会がおびえることを狙っている。ネット社会の不安感の醸成なのだ。彼らのチームは、インターネットの基幹部分のホスティング会社のDNAサーバをいじれるので、このチームはおもうがままなのだろう。これはインターネット暴力団だ。彼らは、2ちゃんねるの中に生息する実在の人物たちだ。この場合、相手が不明者ではなく、実在する明確な某IT会社役員氏なのだが。
彼らがいつのまにか放り込むマルウエアで、うっかり私のPCがどうにもならなくなったことがある。油断して私はWinProtectorをかけておかなかったのだ。フォルダーの最初に置かれるようアドビーの名前のマルウエアだった。うっかりフォルダーを開くとき、クリックしてしまった。マスター・ブート・レコーダーMBRが改変され、システムの奥まで入ったコードは、リモートプロシージャーコールRPCに関連するdllやウィンドウズ・インストーラー( msiexec.exe Windows installer ) などを削除し、復旧を不可能にした。再インストールDVDは誰かが持ち出したのかない。結局他のPCの再インストールDVDをなんとか見付けて直したのだった。
これらからわかるのは、マルウエア感染の自動化のようである。これはどこからか、かれらに開発を委託されているのかもしれない。GMERをダウウンロードするとき、自動的に某ゲーム音楽IT会社の重役オフィイスのPCからマルウエアがインストールされるのかもしれないので、くれぐれもご注意。工夫して落としたほうが安全だ。なぜならマスター・ブート・レコードの改変を行う、見つからないマルウエアがインストールされる恐れがある。OSの再インストール以外に除去する方法はない。またOSは定期的に再インストールしないと危なくて使えないのだ。
前にも書いたように、「S.ISODAウイルス」MBR rootkitは、 ブートローダのプロテクト解除とルート権限挿入ファーム起動というroot権限奪取を行っているのだ。その他のいろいろな無料ウイルス・スキャンソフトも多分落とすときに、マルウエアがこっそりインストールされる恐れがある。そのマルウエアは、GMERやウイルス・スキャンソフトでは検知できない場合もある。
6月30日(火曜日)
某ネットカフェへ行き、フォルダーオプションの隠しファイル変更ボタンが効く2台のうち、もう一方へ。GMERは今回はGoogleUpdate.exe,GoogleUpdaterService.exeというようなGoogleツールバー関連と推定されるRootkitがシステムの奥に入っている警告がある。前回はsvchost.exeの警告だった。
インターネットにつないでみる。マイクロソフトがつながる!シマンテックもオンラインスキャンのサイトもすべてつながる!ここ1年くらいこれらはつながらなかったのだ!試しにTCPMonitor Plusを起動。某ネットカフェ内のLanがきれいで、外部からのアクセスがまったく見られない。
グーグルツールバーやヤフーツールバー、サイドバーツールなどがインストールされていると、これらをアップデートするという名目でRootkitが密かにインストールされ、再起動によってPCの奥に格納されるのだ。
USBメモリーをさしてみる。認識しない。多分「S.ISODAウイルス」(autorun.infウイルスの改造版)がUSBメモリーに格納され、再起動後にUSBメモリーを認識するのだろう。autorun.infウイルスの存在はまだあるのだ。
多くの人はここで、ウインドウズもたまにはおかしな動きをするね、といって攻撃されたことに気づかない。USBメモリー内の実行ファイルは他の自宅や職場のPCへとどんどん感染を拡げていく。
一見正常に見えるように、さらに悪事はバージョンアップしたのだ。
店長さんは困った、困ったと言って、首を振って気弱に店の奥に消える。
7月1日
某ネットカフェへ行く。rootkit検知ソフトのGMER ではrootkitを検知して警告が出る。グーグルツールバーやヤフーツールバー、サイドバーツールなどを念のためアンインストールしておく。今日はcmd.exe でやられないよう起動ブロックした。どうせルート権限がとられているから無駄かと思ったが、なんでも実行あるのみだ。
インターネット接続したら、TCP Monitor PlusのIP監視モニターが賑わしい。パケットデータにrootという文字が連打される。ポート445がでてくる。ダイレクトホスティングSMBサービスだ。ルータを通してroot権限を奪っているようだ。
またマイクロソフトやシマンテック、トレンドマイクロがつながらなくなっている。ウイルス・オンラインスキャンのサイトもつながらない。
そしてTCP Monitor Plusのセッションモニターに切り替えたら、例の1e100.net の偽造Googleが接続しているのに気づいた。その瞬間、相手も気づいた。「Print Scrn」のボタンを押して IPの記録をとるため画面のスクリーンショットを撮ったのを相手が察知したのだ。瞬時にデスクトップがフリーズ。核ミサイル攻撃ボタンが押されたのだ。
以前はexplorer.exeの再起動で、もとに戻ったが、いまはマルウエアがバージョンアップして、次のような症状になる。デスクトップのマウス操作ができないほど遅い。アプリケーションは起動してもウインドウが開かない。アプリケーションは起動してもアクションに対する反応が極めて遅い。
つぎの見慣れないアプリケーションのタスクが動いているのを見つけた。 msfeedssync.exe, verclsid.exe, xpnetdiag.exe
7月3日
1日と同様、マイクロソフトやシマンテック、トレンドマイクロ、ウイルス・オンラインスキャンのサイトがつながらない。Tracertをかけると、すぐ上の nttpc.netからストップしている。金とって、プロバイダーがストップをかけてフィルタリングしていてはだめですね。
おそらく、nttpc.netのDNSサーバーもこの種のブートローダー改変式のLinuxマルウエアに汚染されているはず。1年も気がつかないのは、セキュリティ管理はでたらめですね。DNSサーバー Linux機全台に、Rootkitがもぐりこんでいるはず。全国のプロバイダーのセキュリティ管理者は、もっとしっかり仕事してくださいね。仕事そっちのけで(笑)ゲームばかりに熱中していてはだめですよ(笑) なぜ全台が汚染されるかというと、管理用の再インストールDVDが汚染されているからですよ。自分たちが会社の全Linux機にウイルスを仕込んだのですよ、たぶん(笑)
USBメモリーをさすと、おっとと 、「S.ISODAウイルス」(autorun.inf ウイルスの改造版)をインストールしてくるではないですか。危ない、危ない、あぶあぶぶぶぶ。 こんなものをほかのPCにさしたとたんに、絶命ですよ。
店長 もうやけっぱち状態、灰色の憂鬱のなまこ状態、おっとと まなこです。
この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
- ウイルスに犯された某ネットカフェ、その後の顛末記 その2 あのに 2010/7/12 10:19:52
(0)
▲このページのTOPへ ★阿修羅♪ > Ψ空耳の丘Ψ58掲示板
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。