myugaruの色々構想中・・・！

以下の記事は私個人の感想やら試みが多数含まれて居ます。

この記事の対処を参考に何かを行う場合には実施者本人の自己責任でお願いします。

P2Pは多くのサイバー犯罪に密接に関わってきており、

各プロバイダもその使用が合法違法に関わらず一律使用禁止の方向に動きが見られております。

すでにP2Pが匿名でファイル交換できるというのは過去の話となり、

現在では誰がいつどのファイルを交換したか等の情報が確実にわかるようになっています。

海外では違法なファイルを交換した人物の家に警察が踏み込むということがもう既に始まっています。

日本では法的な準備が遅れている事情がありますが、それもまもなく整ってくるでしょう。

悪い事は言いませんから今P2Pをしている人は早めにやめておくのがよいと思います。

?

金曜日の深夜あたりに知り合いがPCがおかしいので見に来てほしいと連絡があった。
結果から言うとトロイの木馬に侵略されていた。
P2P用に開けていたポートから入り込んだようだ。

感染状況
不審なプロセスがサービスとして多数立ち上がっている。
タスクマネージャーのプロセスリストを見るとその数・・・400超。
サービス停止を行うとPCを強制シャットダウンしてしまう。
サービス自動起動が設定されているので再起動後はまた立ち上がっている。

応急処置
とりあえずポートを閉じれば外から操作されなくなる。
光通信のCTUなので固定アドレス払い出し設定さえ削除してしまえばPCには
ローカルIPしか割り当たらなくなるからポートを閉じる作業はすぐに済んだ。

最近流行しているP2Pを狙ったウイルス
最近はP2Pだとかネトゲなどのプログラムを頻繁に利用している場合、
それらの脆弱性に特化したウイルスが多く出回っているらしい。
この知り合いはあまりPCに詳しくは無い。
実はこのポート開放をしたのも私でその頃は確かWinny作者も捕まっていなかった。
当の知り合いも事件があってから怖くなってP2Pは使っていなかったという。
Winny作者が捕まった時に私が思い出して閉めに行ってればこんなことにはならなかったかも知れない。
本当に申し訳ないことをしてしまった。
今更言っても仕方ないのでとりあえず対処を考える。

対策を調べる
一番の問題はこのウイルスが相当最新作らしくトレンドマイクロの最新パターン
でも検出できないのだ。
GData社のエンジンはP2Pに特化したウイルスに効果があるらしい。http://gdata.co.jp/press/archives/2008/04/p2p_dl67.htm
さっそく30日体験版をインストールして検出を試みた。
しかし結果は残念ながら検出できない。
とりあえずサービスを止めなければ重くて何もできない。
色々試してみるとサービス停止ではなくサービス無効だとウイルスに
PC強制シャットダウンされないことがわかった。
面倒だがサービス変更コマンドSC.EXEでスクリプトを組んで400近くのサービス
全て無効にしてＰＣを再起動。
サービスは立ち上がらなくなった。
C:\Windows\system32\以下にウイルスが数百匹（！）居たのでそのうち一匹を
メモリースティックに採って残りを手で削除。
何度か再起動し不審サービスが全て立ち上がっていないことを確認。
そのままPC起動したまま一日放置してあるが何も起こらないようだ。
知り合いにはPCで使ったかも知れないカードはカード会社に連絡して使用不能にしてもらい一旦帰ってきた。

さらに調べる
未知のウイルスを分析してくれる無料ネットワークサービスを見つけた。
http://www.virustotal.com/jp/
採取したウイルスを解析した結果は
http://www.virustotal.com/jp/analisis/c5e6bfe51161418ff94b778375a41e5c

ファイル名 advancecupdalkill.exe 受理 2008.04.12 09:33:35 (CET)
アンチウイルス	バージョン	更新日	結果
AhnLab-V3	2008.4.12.0	2008.04.11	-
AntiVir	7.6.0.85	2008.04.11	HEUR/Malware
Authentium	4.93.8	2008.04.11	Possibly a new variant of W32/SelfStarterInternetTrojan!Maximus
Avast	4.8.1169.0	2008.04.11	-
AVG	7.5.0.516	2008.04.11	-
BitDefender	7.2	2008.04.12	-
CAT-QuickHeal	9.50	2008.04.11	-
ClamAV	0.92.1	2008.04.12	-
DrWeb	4.44.0.09170	2008.04.11	-
eTrust-Vet	31.3.5692	2008.04.11	-
Ewido	4.0	2008.04.11	-
F-Prot	4.4.2.54	2008.04.11	W32/SelfStarterInternetTrojan!Maximus
F-Secure	6.70.13260.0	2008.04.11	-
FileAdvisor	1	2008.04.12	-
Fortinet	3.14.0.0	2008.04.12	-
Ikarus	T3.1.1.26	2008.04.12	Backdoor.Win32.Agent.egr
Kaspersky	7.0.0.125	2008.04.12	-
McAfee	5272	2008.04.11	-
Microsoft	1.3408	2008.04.12	-
NOD32v2	3020	2008.04.11	-
Norman	5.80.02	2008.04.11	-
Panda	9.0.0.4	2008.04.11	-
Prevx1	V2	2008.04.12	Heuristic: Suspicious Self Modifying File
Rising	20.39.50.00	2008.04.12	-
Sophos	4.28.0	2008.04.12	Sus/Behav-1014
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.12	-
TheHacker	6.2.92.275	2008.04.12	-
VBA32	3.12.6.4	2008.04.06	suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
VirusBuster	4.3.26:9	2008.04.11	-
Webwasher-Gateway	6.6.2	2008.04.11	Heuristic.Malware
?
追加情報
File size: 45056 bytes
MD5...: 2b6fa0f35ab4f4edd7096799a48d5430
SHA1..: 644f4e89f2e987b3e12cee54a2787dfd35bd21e3
SHA256: d0793bb8c7b0558417a2110cef957c5d9c7234593599e9605b322ed1e08aa7e7
SHA512: d4ebecd2f0010276811b7ea5a47d065b3c466d8ce86580293f569e1afc115292 7f6e924ae8979abdc1c9e2d204d2e6fb76424636922fed5252dd3ac6fa3d6cc5
PEiD..: Armadillo v1.71
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x405d94 timedatestamp.....: 0x4121f340 (Tue Aug 17 12:00:00 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4faa 0x5000 6.32 9c6e1b1d454f2e810a404dfbc1f00333 .rdata 0x6000 0x17c2 0x2000 4.21 bb1c308aabc14a60b0019f769033ec47 .data 0x8000 0x1740 0x1000 3.64 303464058ecd415537b26884988d0006 .rsrc 0xa000 0x1930 0x2000 5.02 d8c615ad01e1f1e63267dba71ac8b63e ( 9 imports ) > WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, - > PSAPI.DLL: GetProcessMemoryInfo > WININET.dll: FindNextUrlCacheEntryA, DeleteUrlCacheEntry, FindFirstUrlCacheEntryA > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: __dllonexit, _onexit, __1type_info@@UAE@XZ, _exit, _XcptFilter, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _strdup, _atoi64, atol, _i64toa, exit, abs, fgets, memmove, _stat, _EH_prolog, __CxxFrameHandler, _mbscmp, atoi, _ftol, fread, memcpy, getc, putc, _CxxThrowException, printf, memset, fopen, strlen, fwrite, fclose, time, srand, rand, strcpy, strcat, _setmbcp, _stricmp, _ltoa > KERNEL32.dll: GetCurrentProcess, Sleep, CopyFileA, GetSystemDirectoryA, GetTickCount, SetFileAttributesA, lstrcpyA, lstrlenA, GetModuleFileNameA, GetProcAddress, LoadLibraryA, FreeLibrary, LocalFree, MapViewOfFile, CloseHandle, GetVersionExA, UnmapViewOfFile, TerminateProcess, OpenProcess, DeviceIoControl, GetModuleHandleA, CreateFileA, CreateThread, GetCurrentProcessId, CreateProcessA, DeleteFileA, LockResource, LoadResource, SizeofResource, FindResourceA, GetStartupInfoA, WinExec > USER32.dll: LoadIconA, PostMessageA, SendMessageA, GetSystemMetrics, GetWindow, GetClassInfoA, EnumWindows, GetCursorPos, SetTimer, KillTimer, FindWindowA, ExitWindowsEx, EnableWindow, GetClassNameA > ADVAPI32.dll: GetSecurityInfo, CreateServiceA, StartServiceA, CloseServiceHandle, OpenSCManagerA, OpenServiceA, ControlService, DeleteService, AdjustTokenPrivileges, SetEntriesInAclA, SetSecurityInfo, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, SetServiceStatus, OpenProcessToken, LookupPrivilegeValueA > SHELL32.dll: SHGetSpecialFolderPathA ( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F4542B5B0050B5FCB01C00FCA6837300FEC4B078

31エンジン中8エンジンが警告を出している。
その8エンジン中のSophosはサンプルを受け付けているとの事なので送付してみた。
http://www.sophos.com/support/samples/
すぐに
「We will send you the results of our investigation as soon as possible.」
「出来るだけ早く調査結果を送る」
という返信が来た。
未知ウイルスの検出もなかなか優れているし、
こういうサービスがあるのならSophos製品を持っておいてもいいのかも知れない。

まとめ
Winny以来あまりP2Pが利用されなくなったのかなあと思ったら、
意外とまだまだ密かに別のP2Pソフトの利用者は多く居るらしい。
そしてその脆弱性を突くウイルスも更に数を増しているようだ。
その進化速度は大手ウイルス検出ツールのアップデートを上回っている。
その多くは破壊活動はほとんどせず、PCを乗っ取ってパスワードを盗んだり、
踏み台にして他PCへ進入したり悪用しようとするトロイの木馬型がほとんどだ。
それらに一番効果的なのはポートを開けたりせずファイアウォールでしっかり進入を阻止する事だ。
最近の光通信ならPC自体にはローカルIPしか割り当たらないのでそれほど心配は無い。
しかし私のようにグローバルIPを割り当ててポート開放できるのも事実。
危険を承知でそういう事をしたいなら特化した検出ツールを導入した方が良さそう。
まあポート開放って何？というあなたは手を出さないに越したことはない。