朝起きると、とても嬉しいことに、沢山の一度ぐらいしかお話したことのない人たちが、
流行のウィルスの検体を大量に提供してくださっていました。
ありがとうございます。ぜんぜんいりません。
せっかく検体をいただいたので、対策をご説明します。
なお、自分からメッセージを送っている状態が感染であり、
他人からメッセージが届いている状態はまだ感染ではありませんので素数を数えて落ち着いてください。
不審なURLを開いて、しかもファイルをダウンロードして、さらにzipを解凍し、挙句の果てにexeを実行しなければ感染しません。
下記の「感染しているか調べる方法」で問題なければ対策は不要です。
[10/09 20:48更新] 「外付けドライブ等のデータが消えた方へ」のバッチファイルを更新しました。
ドライブの一番上にある半角スペースを含むフォルダが見えない場合は最新版でお試しください。
[10/08 16:05更新] 日本語でメッセージを送る亜種を確認しましたが、
メッセージが日本語である以外は挙動が同じことを確認したのでそのままご利用いただけます。
[10/08 02:00更新] いつのまにか攻撃者のサーバからダウンロードされるコードがアップデートされ、
WindowsVista/7でもrootkitが動くようになっているので、挙動と対策方法を修正しました。
【ウィルスが何をするか(読み飛ばして大丈夫です)】
--------------
1. zip圧縮されたものを解凍して実行すると、まず自身を%AppData%直下に(A)として保存して元の場所から削除します。
2. (A)は、下記を実行します。
2-A-a. WIPmaniaのAPIにアクセスし、IPアドレスから国情報を取得します。
2-A-b. hotfile.comからウィルスコード(B)を取得し、%AppData%直下に保存します。
2-A-c. 「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に自身をスタートアップとして登録します。
2-A-d. rootkit(usermode)の手法で(A)の実行ファイルとレジストリを隠蔽、IEの通信もフックして妨害します。
2-A-e. Windowsルート以外のドライブのファイルをシステム&隠し属性にして、削除されたように見せかけます。
2-A-f. (B)を実行します。
3. (B)は、下記を実行します。
3-B-a. SkypeにSkypeAPI要求を出し、キーボードエミュレーションでそれを許可します。
3-B-b. Skype経由で友達に対して相手のIDを含むURLの記載されたチャットを発行します。
このとき、チャットの言語が英語ではなく2-A-a.によって取得された言語になるバージョンが存在します。
4-A. (A)は(B)の終了やレジストリの変更を検知し、検知した場合2.を繰り返します。
--------------
※ これは現状の攻撃者サーバに保管されているウィルスコードを私が解析したもので、
downloader(プログラムがネット経由で別のプログラムをもってくるタイプのウィルス)であるために、
攻撃者がウィルスコードを変更した場合は挙動も変更になります。
亜種についても同様です。明らかに挙動が異なる亜種を見つけた際はURLを教えていただければ解析します。
kuku9n@gmail.com
★ポイント(ここが期末テストに出ます)
・通常起動したWindowsではrootkitで隠蔽された(A)のファイルや、実行中の(A)プログラム、
(A)が監視しているレジストリ登録を削除するのはかなり面倒です。
消したつもりでも、Windowsを再起動すると、まるで何事もなかったかのように涼しい顔をして再び現れます。
⇒セーフモードで起動することで簡単に駆除できます。(バッチファイル後述)
・IEでサイトが見れなくなった場合は、「すべてのプログラム」から
「InternetExplorer」を右クリックして「管理者として実行」から起動します。
【感染しているか調べる方法】
1. こんなチャットをつい最近見たことがあるか思い出します。
2. Skypeの「ツール」の「設定」を開きます。
3. 「詳細」の「詳細設定」から「他のプログラムからSkypeへのアクセスを管理」を開きます。
4. 見覚えのないプログラムがあり、その場所が「AppData\Roaming」(Vista/7の場合)、
「Application Data」(XP/2000の場合)の直下なら感染決定です。
見覚えのないものはぜんぶ「削除」してください。ひとまず他人に迷惑をかけることはなくなります。
【駆除する方法】
お友達が感染して、IEでサイトのアクセスやファイルのダウンロードができない場合も、
Skype経由ではファイルの送受信ができるため、Skypeでこの説明とファイルを送ってあげるといいかもしれません。
なお、IEでの接続ができなくなっても、スタートメニューの「すべてのプログラム」から
「InternetExplorer」を右クリックして「管理者として実行」することでIEが使用できます。
〔WindowsVista/7の場合〕
rootkitの手法でファイルが隠されてしまうため、セーフモードでの実行が必要です。
1. 下記のファイルをダウンロードして解凍し、デスクトップあたりに保存します。
http://kuku.neko2.net/intl/data/121007/batch2.zip
2. パソコンを再起動します。
3. 起動中は「F8キー」を連打してください。起動モード選択画面が出るので、キーボードの矢印キーで「セーフモード」を選択してEnterキーを押します。
4. Windowsが起動して、もしダイアログが出れば「はい」をクリックします。
5. 最初のバッチファイルを実行してから、Windowsを再起動します。
◆
〔WindowsXP/2000の場合〕
rootkitの手法でファイルが隠されてしまうため、セーフモードでの実行が必要です。
1. 下記のファイルをダウンロードして解凍し、デスクトップあたりに保存します。
http://kuku.neko2.net/intl/data/121007/batch3.zip
2. パソコンを再起動します。
3. 起動中は「F8キー」を連打してください。起動モード選択画面が出るので、「セーフモード」が選択されていることを確認してEnterキーを押します。
4. Windowsが起動して、もしダイアログが出れば「はい」をクリックします。
5. 最初のバッチファイルを実行します。エラーが表示されても問題ありません。
その後、Windowsを再起動して通常起動します。
◆
このバッチファイルは起動中のプロセスから%AppData%直下で実行されている怪しいものを探し、
強制的に停止させたのち、ファイルを削除するものです。
WindowsVista/7版はレジストリも綺麗にしてくれます。
心配な場合は右クリックして「編集」をクリックするとコードが見れます。
【外付けドライブ等のデータが消えた方へ】
Windowsルートドライブ(通常Cドライブ)以外にDドライブなどが存在していた場合、
ウィルスがファイル属性をいじって隠してしまい、データが消えたように見えることがあります。
この症状に遭遇した場合は、上記の駆除を完了後、下記のバッチファイルで属性を書き換えてください。
1. バッチファイルをダウンロードして解凍します。
http://kuku.neko2.net/intl/data/121007/attrfix4.zip
2. 解凍した「attrfix.bat」をデータが消えてしまったDドライブなどの最上層に移動し、右クリックして「管理者として実行」します。
(Windows2000/XPの場合はそのまま実行してください。)
3. よろしいですか?と聞かれるので「Enter」キーを押します。
4. しばらく時間がかかります。(ファイル量が多い場合は数十分以上かかることもあります。)
エラー(パスが見つかりません等)が表示されることもありますが正常です。終了するまで待っていてください。
「処理は終了しました。」が表示されれば完了です。
5. 消えたはずのファイルが出てくれば大いに喜びましょう。今夜は焼肉です。
【よくいただいているご質問への回答】
Q. 駆除したはずが、「RECYCLE」とか「System Volume Information」とか
「Thumbs.db」とか「Desktop.ini」ってファイルが勝手にできます!!
A. それは正常なWindowsでも勝手に生成されるファイルです。
ウィルスとは無関係なので落ち着いてください。
Q. スマホで開いたんですが感染ですか?!
A. Windowsにしか感染しません。スマホやゲーム機で開いても無害です。ドリームキャストは知りません。
Q. URLを開いただけで感染するって聞きました。どこまでがセーフでしょうか?キスだけなら大丈夫ですよね?
A. exeを実行すると感染です。URLを開いただけ、zipを解凍しただけ、では感染しません。
Q. exeを実行して感染してるはずなのにSkypeのAPIリストに出ません。この場合はセーフでしょうか?
A. アウトです。攻撃者のサーバが混雑していて実行が遅くなる場合がありますが、
exeを実行していればrootkitは入っていると思われます。駆除してください。