#freeze
* 060.jpg問題 [#l819597d]
** 概要 [#refe27e9]
[[RO Skin Station Side内 スキン専用アプロダ>http://roskin.s103.xrea.com/]]に貼られた、拡張子を .jpgと偽装したウィルスhtmlについての素人によるメモ。
アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/l50
に投稿した文章を元に再構成。
この件についての問い合わせは上記スレにて対応。
** 詳細 [#v5603809]
*** 感染プロセス [#xaae1f2d]
060.jpgは Jpeg画像と思わせる拡張子を持っているが、中身は JavaScript, VBScriptを含む htmlファイルである。
mimeや拡張子に従うまともなhtmlブラウザならば、壊れたjpeg画像ファイルにしか見えないが、Internet Explorer (「拡張子ではなく、内容によってファイルを開く」が「有効」になっている IE7を含む)では、勝手に通常のhtmlと解釈し、JavaScriptや、VBScriptが(許可されていれば)実行される。
*** このファイル(060.jpg)に含まれるVBScriptの動作 [#jebff349]
:ファイルの作成|
WindowsのSystemディレクトリ (実験環境では C:\WINNT\system32 以下 Systemディレクトリと表記) に
--TSP32E.DLL - テキストファイル。中身は数字の羅列 (Kernel.exeをエンコードしたもの)
--TSP32V.DLL - テキストファイル。中身は数字の羅列 (Kernel.vbsをエンコードしたもの)
と
--Kernel.exe - Win32実行ファイル
--Kernel.vbs - VBScriptファイル
を作成する。
Kernel.*ファイルは、それぞれ Systeme.dll, Systemv.dllファイルの中身が "on" でないとき作成される(後述)
:プログラム、スクリプトの起動|
-- Systeme.dllを読み中身が "on"でなければ、Kernel.exeを実行する。
-- Systemv.dllを読み中身が "on"でなければ、Kernel.vbsを実行する。
*** Kernel.vbsの動作 [#i05088e5]
-'Navid new virus 2006(1375.1) というコメントを持つ
:レジストリキーの作成|
--HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
に、
C:\WINNT\system32\Kernel.vbs
--HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
に、C:\WINNT\system32\Kernel.exe
を作成する。
これらはPC起動時、およびログイン時に自らが作成した Kernel.vbs、Kernel.exeを実行させるものである。
:フラグの設定|
systemディレクトリに Systemv.dllというファイルを作成し、"on"という文字列を設定する。(多重起動を防ぐための動作状況フラグと思われる)
:htmlファイルの改変|
ローカルディスク, ネットワーク共有ドライブ内にある全てのディレクトリを巡回し
htm, html, htt の拡張子を持つファイルに 060.jpgに含まれていたもの相当の VBScriptを追加する。
:Yahoo!IDの一覧を作成|
--Yahoo!Messenger (多分日本のユーザーは関係ないが未確認)のProfileディレクトリを見つけたらそこに記録されているファイル名をYahooIDと見なして mail.logにアドレス一覧を作成する。
--send.logに"HKEY_CURRENT_USER\Software\yahoo\pager\Yahoo! User ID"キーの値 + @yahoo.com という文字列を作成する。
:メールの送信|
mail.logに作成したメールアドレス一覧あてにとあるURL (現在404)の宣伝メールを送りつける。そのときの Fromには send.logを設定する。
:フラグの設定|
systemディレクトリに Systemv.dllというファイルに、"off"という文字列を設定する。
*** Kernel.exeの動作 [#y95e1739]
- 詳細不明
- Kernel.vbs相当の動作を持つと予想される。
- &color(red){それ以上の機能を持っているかもしれない。};
*** 感染してしまったら [#s4c7a2e4]
- 念のためセーフモードで起動する
(起動時に Kernel.exe, Kernel.vbsを実行させないため)
- systemディレクトリ内の
-- TSP32E.DLL
-- TSP32V.DLL
-- Kernel.exe
-- Kernel.vbs
ファイルを削除する。
- レジストリキー
--HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
--HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows
を削除する。
- ローカルディスク、共有ドライブないの *.htm, *.html, *.httファイルを検索し削除する (か、追加されたVBScript部分を切除する)
- 再起動後 WindowsUpdateする
*** 注意 [#me2d2a0f]
現時点(2007/02/26)において、&color(red){Symantec AntiVirusはKernel.vbs, Kernel.exe自体を脅威と見なさない};のであてにしないこと。
カスペルスキーは脅威と警告した。
Kernel.vbs分の駆除は以上のとおりだが、Kernel.exeの機能については把握していない。
そもそも感染してしまったこと自体が問題であるので、その対処を含め&color(red){早期に再インストールからの環境の再構築をするべき};と判断する。
*** 履歴 [#k9d2d055]
- 2007/02/26 - 初版
