投稿者 佐藤雅彦 日時 2001 年 12 月 01 日 07:49:19:
●目下サイバー空間で猛威を振るっているBadtransウイルスは、感染した
コンピュータに打ち込まれたキー操作を盗み出してどこかに報告するという
陰険な“習性”があるそうですな。つまり、出歯亀本能をもったトロイの馬……。
こうしたウイルスは、すでにFBIが用いているらしい「魔法の提灯(ちょうちん)」
(Magic Lantern.)というスパイウェアと酷似しているため、米国諜報機関が
サイバー空間に放った“疫病”ではないかという指摘もでているそうです。
ちなみに「Magic Lantern」の辞書的な意味は「 《旧式の》 幻灯機(=lantern)
《今は projector という》」だそうでして、あたかも娑婆のコンピュータ利用者
の使用記録(キーストローク)を諜報監視センターに「投射」するという役割
を暗示しているようで興味ぶかい……。
もひとつちなみに「Badtrans」というウイルスの呼称についてですが、なんだか
糞ドヘタ音痴のトランスミュージックを聞かされて悪酔いしてしまう……みたい
な語感のコトバなんだけど、トランスにはこんな意味もあるらしい――
trans:《黒人ティーンエージャー俗》 自動車, ポンコツ (transportation)
……っていうことは、「Badtrans」ウイルスとは「糞ポンコツ」ウイルスって
ことか。(笑)
まあとにかく、警戒するに越したことはありません。
●以下に、「糞ポンコツ」ウイルスをめぐるFBIとCIAの陰謀めいた話(英文)と、
ついでですからこのウイルスについての対策情報(和文)を紹介しておきます。
■■■■@■■■.■■■■■■■■■■■■■■■■■■■
The Virus Invasion portion is new material that I've been working on for a couple days, it first became relevant news about Tuesday of this week. The FBI vs. CIA is material I went over with John and Paul on their radio show on WABC last night (hear them on 770am 10-1 EST) -- included is a list of other tools that the FBI and CIA are currently employing in their effort to come in line with the online world. Included is a description how you can completely, legally and safely circumvent all the known ways of online federal monitoring. There are other ways to make it more safe, but these include tactics which are not allowed within the confines of the law, and I cannot suggest their usage for everyday purposes.
Rizzn's Wartime Factbook: http://factbook.diaryland.com/
The Best UAV: http://www.unmannedaircraft.com
CyberWar Update #2 There are two major fronts opening up in the Cyber War front, largely being ignored by the major media. Computer security groups are noting the vast influx of email-propelled virii. The other front largely ignored is the clash in the surveillance policies and programs between the FBI and the CIA, reported only by Charles R. Smith of Newsmax.com news service. Virus Invasion Badtrans is the name of the virus that is making the rounds currently and grinding email servers to a halt worldwide. There is much speculation by respectable theorists that this may be the much-talked about keylogging virus the FBI is threatening to release on the public known by the name Magic Lantern. Operationally, it fits the profile, logging keystrokes to a temp-file and when the temp-file reaches a certain size, mailing the log file to a pre-specified recipient. The Badtrans virus has had a couple modifications made to it over the last couple weeks, making it's transmission and operations more smooth, and therefore more infections and effective, however it is reported that most commercially available anti-virus software still picks it up prior to infection. The new version of the Badtrans virus activates embedded HTML in the email and automatically informs Microsoft email programs to activate the attached virus program. The virus also appears to activate the MP3 player. There are three scenarios within possibility which would explain the origin of the Badtrans virus. The first, most obvious, and most widely accepted is that it is a simple keylogging virus put out by a random hacker to get user's usernames and passwords. The second theory is more of an addendum to the first, in that it's a virus put out by a random hacker at this time to try to create a buzz and make it look as if the FBI is targetting certain groups or demographics (this theory has been posited by many members of the OSINT group RMNews). The third theory is that this is in fact the second iteration of the Magic Lantern keylogger. The first theory is supported by the simple fact that this sort of thing comes out on a fairly regular basis, and to assume that this virus is any different than the last 15 that have come out is pure conjecture -- at least at first glance. The third theory is supported by the plethora of news releases that has accompanied the virus's release that tell of the FBI's Magic Lantern keylogger's inner workings. The operations are very similar in description, and a mass release through worm form is an effective means of distribution, despite the preferred method of delivery is reportedly the newly allowed ''sneak and peek'' method -- however, distribution through an email virus does seem to be a bit unconventional, a bit of a kludge-type attack. Granted, the FBI's technology teams have proven somewhat clueless as to implementation of internet technologies in the past, but this tends to lack the type of precision the FBI needs, and seems like it could lead to the type of legal trouble the FBI could ill-afford. All of this lends the most credence to the second theory, that it is most likely being used as an Infowar tool, to make individuals feel as if they are being singled out by the FBI or other government agencies since most virus detection systems alert the user of it and mention it's purpose. It may have originally started out as the tool mentioned in theory one, but it has quickly become the tool mentioned in theory two. FBI vs. CIA in Cyberspace Most people who are in the intelligence community and those who follow it recognize that there was a vast intelligence failure that led up to the Sept 11 attacks. The FBI and CIA are two agencies charged with law enforcement and intelligence operations, have taken the most heat for the failure. Both agencies had few areas of cooperation prior to Sept. 11. As it turns out the FBI and CIA have suddenly found themselves in diametrecially opposed roles inside cyberspace. Below is a list of tools that would aid US Federal law FBI tools: Some time last year the FBI was forced by privacy advocates such as the ACLU and the EFF to reveal that it had a new software program called Carnivore designed to monitor Internet e-mail. The way the Carnivore system operates is not on home personal computers, or the client side, but on Internet Service Provider computers, or the server side. This allows the agency to siphon off data from suspected customers. It is used only for looking through email, according to its description, *however* from it's description, it is also capable of sifting through web traffick. (remember that) Magic Lantern It is to be spread either through an agent manually infecting the machine by inserting an infected disk or downloading the infection, or through targeted email virus infections. (i.e., opening an email, and a hidden virus is installed on the victim's machine without his knowlege by way of many security holes in email software). It is a key-logging program, designed to intercept passwords and outgoing emails from the user's machine. It cannot log mouse clicks, however, which is it's only weakness. (i.e., if a user has an encryption software installed, and has the password stored locally, it can be activated by mouse clicks instead of a password being typed in, thus defeating the keylogging method). dTective Encase CIA tools: Technically, this tool sponsored by the CIA could be used as an aid to hackers, as well as those hiding from governments and companies who filter what their users are able to see. It could also be used as a device to in some way circumvent the FBI from positively tracking down the author of a message. Imagine if a terrorist sets up an account on Hotmail, but uses Triangle Boy to access it. The FBI would be able to determine what the content was, but would be unable to find the user by way of IP tracking. Nor would the FBI know what computer to put Magic Lantern on in case the user was employing a method of encryption, which would prevent the FBI from even seeing the content of the messages as well. Fluent Echelon Oasis Conflicting tools: The tool conflict comes up between the CIA and the FBI are the CIA's Triangle Boy utility and the FBI's Magic Lantern and Carnivore snooping utilities. Essentially, by using the Triangle Boy web proxy utility or any other commercially available approximation thereof while simultaneously running any number of publicly available different 128-bit encryption routines, you can effectively and completely block yourself off from any FBI monitoring. What Triangle Boy allows you to do is anonymously surf the web. There are a couple public projects on the internet that approximate what Triangle Boy does, such as it's predecessor Anonymizer.com, probably the web's first public anonymous proxy server. By using this or a similar service to log on to a public, free email server, you have prevented the email server from logging your IP address, or in other words, a number that can be linked to your person. To completely make your message unintelligable and unbreakable to the US Federal government, use 128-bit or better encryption methods, preferrably the RC5 standard. Distributed.net has been working with a brute force hack of the RC5 encryption routine (64-bit encryption) since 1998 using thousands of computers simultaneously on the project and estimates they have a year left until they break the code. From this one can safely assume that by the time the government is able to break your message at 128-bits, the usefulness of the contents of the message will long past be viable, not to mention most statute of limitation laws will have expired in the process. Vulnerabilities in the Magic Lantern Keylogger The Magic Lantern keylogger not only is ineffective in accomplishing it's purpose by virtue of the CIA's and the private sector's privacy tools, it also could backfire on the federal government. Any technically savvy hacker, could quite easily reverse engineer the product to either hack into the repository for the keylogged files or re-distribute the virus as an agent to gather his own data, especially if the government strikes deals with anti-virus makers to make the utility unnoticed by their detection software. ■■■■@■■■.■■■■■■■■【マイコムPCの記事】 2001年9月は、大変な月であった。米国での重大なテロ事件の直後、テロとの関係 Sircamは、破壊力と感染力によって爆発的に広がり、ウイルスの活動を監視する英 そしてCode Redは、MicrosoftのIIS(Internet Information Server)の脆弱性 そして次に世界を席巻したNimdaもまた、脆弱性を利用する、ユーザーの行動を必 Nimdaで大きな話題となったIEの脆弱性 それにもかかわらず登場したのが、Klezだ。Nimdaと同様の脆弱性を利用し、メー そして11月、まずAlizが出現する。不思議なのは、このAlizはすでに発見されてい 話はそれるが、IEの修正パッチを適用しても、「メールのプレビューだけで自動的 このAlizの感染拡大と時を同じくして、Badtrans.Bが登場する。このウイルスは、 Badtrans.Bは、4月に発見されたBadtrans.Aの亜種。亜種として加えられた機能と Badtrans.Bは、ユーザーのキーストロークを記録するほか、特定のウインドウタイ また、受信トレイの未読メールを探し、差出人に返信する、またはIEのキャッシュ ウイルスの感染も自動、メールの送信も自動、キーストロークなどのハッキングも Nimda以降の同一の脆弱性を利用したウイルスの流行については、Nimdaの蔓延に つまり、ウイルス作者は、ウイルスをより拡大させるための格好の獲物を見つけた ウイルスの危険は、自分のPCのデータが破壊されるだけではない。知人のデータを インターネットを利用している全てのユーザーは、トレンドマイクロが提供する 関連記事 日本でも感染広がる新種ウイルス「Nimda」 - 至急の対策が必要 【レポート】感染は増えつづけている? Code Redワームへの注意はなおも必要(1) シマンテック Badtrans.B駆除ツール トレンドマイクロ Badtrans.B駆除ツール ―――――――――――――――――――――――――――――――――――――― ■■■■@■■■■■■■■【ここからウイルスチェッカーソフトの紹介】 【●トレンドマイクロの無料ウイルスチェッカーは トレンドマイクロでは、Microsoft Exchange ServerとMicrosoft Outlookをご使用 InterScan for Outlookは、Microsoft Outlook専用の ■■■■@■■■.■■■■■■■■■■■■【以上です】
The update as of November 30th, 2001
Report assembled by Mark Hopkins
of Parallad Studios OSIS Project
Carnivore (http://www.fbi.gov/hq/lab/carnivore/carnlrgmap.htm)
The way carnivore works, according to the diagrams and explanations on the FBI website, is to trap all data going through a certain point, make a copy and send it back to a centralized point. The FBI is then able to sift through it using keyword searches.
There is no official documentation on Magic Lantern on FBI's website, but open source intelligence resources describe it's operation and implementation as such:
Developed jointly by Ocean Systems Co. of Burtonsville Md. (did the software side) and Avid Technology Inc. (hardware side). Its purpose is to trace the financial transactions linked to Sept's terrorist attacks against New York and Washington by enhancing ATM video surveillance images that were previously unusable due to bad lighting and such.
Deleted file recovery tool. Used in cases where the suspect has clean sweep deleted the hard drive of data.
Triangle Boy/SafeWeb
It's original intent was to allow Asian Surfers (primarily Chinese) to surf the web without government interference. It allowed them to bypass governmentally blockage of websites and to do so anonymously (at least to governments other than the United States).
Custom-written software scours foreign Web sites and displays information in English back to
analysts. The program already understands at least nine languages, including Russian, French and Japanese. Not a remarkable piece of software, same results that this software produce can be accomplished by combining the power of Digital's babelfish project with Google's search engine software.
Essentially a European Carnivore, not officially acknowleged by the US government.
Technology that listens to worldwide television and radio broadcasts and transcribes detailed reports for analysts. Oasis currently misinterprets about one in every five words and has difficulty recognizing colloquial Arabic, but the system is improving, said Larry Fairchild, head of the CIA's year-old Office of Advanced Information Technology.
■■■■@■■■.■■■■■■■■■■■■■■■■■■■
【以下は、Badtransウイルスについての対策情報です。】
本日配信された毎日マイコムPCメイルに参考になりそうな
記事がありましたので、紹介しておきます。(ついでにトレンドマイクロ
のOE用無料ウイルスチェックソフトのダウンロード先も紹介しますね。)
MYCOM PC MAIL 2001.12. 1 No.979
――――――――――――――――――――――――――――――――――――――
●REPORT [10]
Nimdaの系譜 Klez、Aliz、そしてBadtrans.B - セキュリティ意識が不可欠
――――――――――――――――――――――――――――――――――――――
すら取りざたされた凶悪ウイルス「Nimda」が登場し、世界中で猛威を振るった。8
月にも凶悪なウイルスとして、「Code Red」が流行しており、さらにその前月には
「Sircam」がネットワークに大きな脅威を与えた。このように、ここ最近は毎月の
ように凶悪ウイルス/ワームが登場、ネットワークに大きなダメージを与えた。そ
して10月には「Klez」、11月には「Aliz」「Badtrans.B」という3つのウイルスが
連続して広まった。この3つのウイルスには、Nimdaと共通する大きな特徴がある。
それは、Internet Explorer(IE)の脆弱性を悪用する、というものだ。
MessageLabs社の「viruseye」によれば、発生以降519,224件の活動を数え、同社が
監視を開始してから、圧倒的な数で1位を占めている。Sircamは、メールに添付さ
れたファイルをダブルクリックなどで実行すると感染する、いわば従来型のワーム
といえるが、感染力において圧倒的であった(なお日本においては、IPAセキュリ
ティセンターによれば7月21日から8月20日までで1,441件の届出)。
(
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033 )
を利用して感染を広げるが、Windows9x系には感染しないため、
爆発的な広がりは見せなかった。しかしながら、そこには大きな特徴がある。感染
に脆弱性を利用する点、ユーザーの行動(ウイルスファイルの実行)を必要としない
点、この2点である。
要としない、という2点の特徴を持つウイルス(ワーム)であった。しかも脆弱性を
利用されたのがトップシェアのWebブラウザであるIEで、多くのユーザーを有する
Outlook/Outlook Expressでは、メールをプレビューしただけでウイルスに感染し
てしまう。Code RedのIISとは異なり、Windows全般に影響のある脆弱性を利用する
ことにより、Nimdaは爆発的に広まった。Nimdaのウイルスコードは非常に高度なも
のとなっており、米Network Associatesのウイルス対策チームAVERTの責任者
Vincent Gullotto氏は、「Nimdaレベルのウイルスを作れる人間は世界には何人も
いるだろう。だが、現在のウイルス作者でそのレベルにあるものは少ない」と述べ
る。Nimdaの高度な点は、複数の感染・攻撃方法を有している点だ。自身をEメール
で無作為に送信、IISに感染してWebページの書換え、ローカル/リモートのファイ
ルに感染、といった行動を起こす。しかし、話題性が強すぎたためか、前出の
「viruseye」では、発生直後に爆発的に感染を広げたものの、すぐに沈静化してい
る。ただし英Sophosは、2001年の届出が一番多かったウイルスにNimdaを挙げてお
り、かなりの被害を与えたことは間違いない。
(
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020 )
は、IE 5.01や5.5のみに起こる問題でMicrosoftから直ちに修正
パッチが公開されたほか、IPAセキュリティセンターやセキュリティベンダの多く
が繰り返しIEのバージョンアップやパッチの適用を訴えていた。
ルのプレビューだけで感染するこのワームは、大量のウイルスメールを送信するほ
か、ファイルの改ざんも行う。ただし、Klezの感染力の高さの割に、実際の被害は
それほどでもなかった。もちろん、感染したユーザーはいたが、多くはなかった。
たウイルスであり、新種のものではなかった点だ。どういう理由でAlizが突如、特
に日本において感染を広げたのは不明であるが、11月20日を境に一気に感染が拡大、
世界規模で急激に広まった。最小のワームといわれるとおり、メール送信を行うの
みで、致命的な攻撃力を持たないウイルスであるが、感染力は高い。そしてここで
も登場するのがNimda、Klezと同じIEの脆弱性だ。今までも十二分に話題になった
脆弱性であり、修正パッチを適用していれば、簡単にはウイルスに感染しないのに
も関わらず、ここでも感染は止まらなかった。
にウイルスに感染する」という脆弱性が解消されるだけで、添付ファイルを実行す
ればウイルスには感染してしまう。その事実を差し引いたとしても、感染したユー
ザーの多くは修正パッチを当てておらず、自動的にウイルスに感染したと想像され
る。
現在最も勢力を誇っているウイルスだ。viruseyeによれば、30日現在、直近の24時
間の中で活動しているBadtrans.Bウイルスは約2万。2位のSircamが1,600程度とい
うことを考えれば、その圧倒的な感染率がわかるだろう。
して、IEの脆弱性を利用して自動で感染する、ユーザーのPCの特定情報を搾取する、
といった新機能が搭載され、Nimdaと同様、メールなどを介して自己のコピーを拡
大させるワームであり、感染PC内で指定のプログラム(Nimdaでは特定のIPアドレス
へのDDoS攻撃、Badtrans.Bは個人情報の搾取)を実行するトロイの木馬でもある。
トル(たとえば「LOG」「PAS」)に記録されたテキストを取得する。たとえば
「PASsword」というウインドウにユーザーIDとパスワードを入力した場合、その内
容が搾取されてしまうわけだ。搾取した個人情報は、自身のMAPI(Message API)を
利用して、メールソフトなどに記録が残らない形であるアドレスへ送信される。
に記録されたメールアドレスに対して自身をコピーしてメール送信する。ここで問
題となるのは、Badtrans.Bによる送信メールがメールソフトに記録されない点だ。
しかもBadtrans.Bは、感染PCに対して、特に致命的な破壊活動は行わない。つまり、
自分が感染していることが非常にわかりづらいのだ。
自動、しかも記録が残らない。感染してしまったユーザーの多くは、自分がウイル
スの配布者になっていることに、ほとんど気づいていないのではないだろうか。そ
れを証明するように、英国での最初の発見日である11月23日以降、すでに一週間が
たとうとしているのに、いまだ勢力は衰えていないのだ。viruseyeを見ると、特に
27〜29日は、1日に2万件近いのウイルス活動が検知されている。日本でもその傾向
は変わっていないようで、感染は止まっていない。
よって触発されたもの、とも考えられる。Nimdaより作られた時期は古いのに、今
になって急に登場してきたAlizや、Nimdaと同様の機能を追加したBadtrans.Bなど、
その傾向があるように見受けられる。
のだ。セキュリティパッチを適用せず、ウイルス対策ソフトの定義ファイルを更新
しない(またはソフト自体を入れていない)、ホームユーザーが狙われているのだ。
Nimdaに続くウイルスの流行は、残念ながらそれが事実であることを告げている。
破壊する可能性もあるし、クレジットカードなどの重要な個人情報が盗まれる危険
もある。自宅に鍵をかけるように、自分のPCのセキュリティに関して、もう一度見
なおす必要があるだろう。
「トレンドマイクロ・ウイルスバスターオンラインスキャン」で、無償のウイルス
チェックが可能なので、一度チェックしてみてはいかがだろう。なお、Badtrans.B
の駆除ツールは、トレンドマイクロ、シマンテックより無償で配布されている。も
しもの際は利用するとよい。
高度な技術持つウイルス作者、不注意なユーザー - AVERT責任者が来日
http://pcweb.mycom.co.jp/news/2001/11/29/10.html
http://pcweb.mycom.co.jp/news/2001/09/19/17.html
http://pcweb.mycom.co.jp/news/2001/08/07/06.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal
.tool.html
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
下記のプログラムをダウンロードして実行するものです。】
のお客様に、 この度オンライン無料ウイルスチェックサービスおよびプログラムの
ご提供を始めました。
これを機会にご使用中のMicrosoft Exchange Server,Microsoft Outlookのウイルス
チェックはいかがですか?
http://www.trendmicro.co.jp/ms/top.asp
ウイルス検索および駆除のアプリケーションです
http://www.trendmicro.co.jp/ms/ol.asp
■InterScan for Outlookの機能と特長
・手動検索: ボタンを押すだけで、いつでも簡単にウイルス検索と駆除を実行し
ます。
・更新機能: ActiveUpdate機能によりパターンファイルと検索エンジン更新を実
行します。
・検索対象の選択: Microsoft Exchange Server上の自分のメールボックス、
ローカルの個人用フォルダーの中の検索対象サブフォルダーを選択可能です。
・検索状況の表示機能: ウイルス検索の途中結果、およびその処理が画面上に表
示され必要に応じてその検索を一時停止・停止することができます。
題名には必ず「阿修羅さんへ」と記述してください。