060.jpg問題

概要

RO Skin Station Side内 スキン専用アプロダに貼られた、拡張子を .jpgと偽装したウィルスhtmlについての素人によるメモ。

アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/l50

に投稿した文章を元に再構成。
この件についての問い合わせは上記スレにて対応。

詳細

感染プロセス

060.jpgは Jpeg画像と思わせる拡張子を持っているが、中身は JavaScript, VBScriptを含む htmlファイルである。
mimeや拡張子に従うまともなhtmlブラウザならば、壊れたjpeg画像ファイルにしか見えないが、Internet Explorer (「拡張子ではなく、内容によってファイルを開く」が「有効」になっている IE7を含む)では、勝手に通常のhtmlと解釈し、JavaScriptや、VBScriptが(許可されていれば)実行される。

このファイル(060.jpg)に含まれるVBScriptの動作

ファイルの作成
WindowsのSystemディレクトリ (実験環境では C:\WINNT\system32 以下 Systemディレクトリと表記) に
  • TSP32E.DLL - テキストファイル。中身は数字の羅列 (Kernel.exeをエンコードしたもの)
  • TSP32V.DLL - テキストファイル。中身は数字の羅列 (Kernel.vbsをエンコードしたもの)
  • Kernel.exe - Win32実行ファイル
  • Kernel.vbs - VBScriptファイル
    を作成する。
    Kernel.*ファイルは、それぞれ Systeme.dll, Systemv.dllファイルの中身が "on" でないとき作成される(後述)
プログラム、スクリプトの起動
  • Systeme.dllを読み中身が "on"でなければ、Kernel.exeを実行する。
  • Systemv.dllを読み中身が "on"でなければ、Kernel.vbsを実行する。

Kernel.vbsの動作

  • 'Navid new virus 2006(1375.1) というコメントを持つ
レジストリキーの作成
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
    に、
    C:\WINNT\system32\Kernel.vbs
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
    に、C:\WINNT\system32\Kernel.exe
    を作成する。
    これらはPC起動時、およびログイン時に自らが作成した Kernel.vbs、Kernel.exeを実行させるものである。
フラグの設定
systemディレクトリに Systemv.dllというファイルを作成し、"on"という文字列を設定する。(多重起動を防ぐための動作状況フラグと思われる)
htmlファイルの改変
ローカルディスク, ネットワーク共有ドライブ内にある全てのディレクトリを巡回し
htm, html, htt の拡張子を持つファイルに 060.jpgに含まれていたもの相当の VBScriptを追加する。
Yahoo!IDの一覧を作成
  • Yahoo!Messenger (多分日本のユーザーは関係ないが未確認)のProfileディレクトリを見つけたらそこに記録されているファイル名をYahooIDと見なして mail.logにアドレス一覧を作成する。
  • send.logに"HKEY_CURRENT_USER\Software\yahoo\pager\Yahoo! User ID"キーの値 + @yahoo.com という文字列を作成する。
メールの送信
mail.logに作成したメールアドレス一覧あてにとあるURL (現在404)の宣伝メールを送りつける。そのときの Fromには send.logを設定する。
フラグの設定
systemディレクトリに Systemv.dllというファイルに、"off"という文字列を設定する。

Kernel.exeの動作

  • 詳細不明
  • Kernel.vbs相当の動作を持つと予想される。
  • それ以上の機能を持っているかもしれない。

感染してしまったら

  • 念のためセーフモードで起動する
    (起動時に Kernel.exe, Kernel.vbsを実行させないため)
  • systemディレクトリ内の
    • TSP32E.DLL
    • TSP32V.DLL
    • Kernel.exe
    • Kernel.vbs
      ファイルを削除する。
  • レジストリキー
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
      を削除する。
  • ローカルディスク、共有ドライブないの *.htm, *.html, *.httファイルを検索し削除する (か、追加されたVBScript部分を切除する)
  • 再起動後 WindowsUpdateする

注意

現時点(2007/02/26)において、Symantec AntiVirusはKernel.vbs, Kernel.exe自体を脅威と見なさないのであてにしないこと。
カスペルスキーは脅威と警告した。

Kernel.vbs分の駆除は以上のとおりだが、Kernel.exeの機能については把握していない。
そもそも感染してしまったこと自体が問題であるので、その対処を含め早期に再インストールからの環境の再構築をするべきと判断する。

履歴

  • 2007/02/26 - 初版

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-02-26 (月) 14:49:38 (4914d)