|
|
|
2005年04月16日
カテゴリ:気になるネタ
こんばんわ! 今日は10時に起きましたヽ(´ー`)ノ で、何?って話ですが(´∀`;) もちろん予定もなく、ボーっとしてました(ぉぃ ww 昼に友達が来たので、天気もいいし出かけよう♪ってことで公園へ(笑) 土曜日ということで小学生が、わんさかいました(´∀`;) そんな小学生たちの草野球を見ながら、マターリと話してました(笑) 平和だねぇ~( ̄▽ ̄) ニヤ ---------- キリトリ ----------- 今日もニュースからネタを掘り下げようかと(笑) 「新種のマルウェアが登場、2ちゃんねるを荒らす」 「2ちゃんねる」とは、言わずと知れた巨大掲示板のサイトです(笑) 「マルウェア【malware】」とは、コンピュータウイルス、ワーム、スパイウェアなどの 「悪意のこもった」ソフトウェアのこと(´∀`;) (ちなみに「mal-」という接頭辞には「悪の」という意味がある。マル+ソフトウェア) で、記事の内容はといえば…(用語説明はあとでします) インターネット上のアップローダに新しいマルウェアが登場した。 感染するとレジストリが改ざんされ、hostsファイルが書き換えられる。 このマルウェアの正体解明は完了されておらず、 4月12日の時点では主なアンチウイルスソフトでも検知されなかった。 ただし、これが本体と思われる検体は見つかっているので近日中には対応されるだろう 4月14日、トレンドマイクロが「Mellpon.A」としてオリジナルの検出に対応した。 またシマンテックも一般名称の「Backdoor.Trojan」として検出を開始している。 ただし、同時に亜種も増えているため、過信は禁物。 マルウェアの本体は、ファイル名に(多量の)スペースを含め、 アイコンを変更することによりフォルダに偽装している。 中には複数のリソースが含まれているが、多くはファイルの擬装用と思しき画像データだ。 それとは別に実行ファイルのリソース(PE形式実行ファイル)が含まれており、これが悪さをする。 もしこれを実行してしまうと、マシンのレジストリやhostsファイルを書き換えるほか、 巨大掲示板「2ちゃんねる」の多くの板(どの板に書き込むかは候補の中からランダムに決まる模様)に、 以下のような書き込みを行うようだ。 (下のアドは絶対開けないこと!もしものことがあるといけないので一部変更してあります) トレンドマイクロなどの情報によると、このマルウェアと書き込みの間に 直接の関連はない可能性もあるが、時期的にはほぼ一致する。 999 :[名無し]さん(bin+cue).rar:2005/04/12(火) 21:40:00 ID:hogeHOGE0 ええけつしとるのぉ(*´Д`)ハァハァ ttp://192.199.0.1/ ttp://192.199.0.1/~ss.jqg ttp://0EMC0MPUTER/ ttp://0EMC0MPUTER/~ss.jqg もしくは 999 :ttp:// iqnumder.hogehoge.ne.jp/~ss.jpg:2005/04/12(火) 21:44:57 ID:hogeHOGE0 ええけつしとるのぉ(*´Д`)ハァハァ うはっwwwおkwww?? 前者では感染マシンのIPアドレス(この場合はプライベートIP)とマシン名をベースとしたハイパーリンクが、 また後者では「fusianasan」と呼ばれる方法で送信FQDNが名前欄に記入される。 2ちゃんねるを観察するとこのように2種類の書き込みが散見されるが、 現在対応されている検体は前者のみ。後者は亜種と考えられている(対応待ち)。 だがその後、2ちゃんねるの書き込みパターンはさらに増えており、 亜種が増えていることを示唆している。 マルウェア本体は先に述べたとおり、インターネット上のアップローダに掲載された。 アイコンは一見するとただのフォルダに見えるが、 プログラム名の後ろに長いスペースを付け、偽装を行っている。ファイルサイズが大きいのは、 画像フォルダを装うために多数の画像リソースを内包しているためで、 その他に実行形式のリソースが含まれている。 特に亜種のサイズは数十MBに及ぶもので、検体提出を難しくしている。 フォルダだと思い込んでこれを実行すると、プログラムをHDD内にインストールし、 さらにレジストリを書き換えて起動時に自動実行するようだ。 偽装ファイルはWindowsのシステムファイルと同じ「SVCHOST.EXE」という名前なので、 タスクマネージャからは判定が難しい。 この偽svchostの中を見る限り、書き込み対象となる2ちゃんねるの板は多数あり、 そのうち一番上にあるスレッドに書き込むようだ。 ただ、書き込みに関しては2ちゃんねる側で対策が取られているため、 掲示板がこの書き込みで溢れることはなくなっている。 もう1つ注意したいのは、最近のマルウェアに多く見られる傾向だが、 hostsファイルが書き換えられてしまうことだ。 ところで以前「苺○ンタマ」というマルウェアが登場したことがあったのをご存じだろうか? このマルウェアの概略を紹介すると、「苺あぷろだ」(通称)というファイルアップローダに置かれた 正体不明のファイルが本体で、これをダブルクリックするとトロイの木馬が起動し、 2ちゃんねるあぷろだに被害者のPCのスクリーンショットをアップロードする。 このマルウェアは「正体不明のファイルをダブルクリックするな」という(当たり前の)教訓を残したのだが、 これはあまり生かされなかったようだ。 4月10日、同じアップローダに新たなるマルウェアが登場し、少なからぬ人がこれをダブルクリックした。 上記のマルウェア(新種)は、「山田ウイルス」(仮称)と呼ばれているようだ。 と、まあ書いてきましたが…難しい言葉いっぱいです… 用語解説しときますね(´∀`;)<文字色が「赤」のものを解説> アップローダー ネットワークを通じて、クライアントコンピュータに保存されているデータを サーバコンピュータに転送する機能。 トレンドマイクロ ウイルス駆除/ファイアウォールソフト「ウイルスバスター」を販売している企業。 シマンテック インターネットセキュリティー商品を提供する企業。 リソース PCにおいて、メモリやCPUなど、コンピュータを満足に動作させるための各種の資源の総称。 レジストリ Windows系OS上の、システムやアプリケーションの設定を記録するデータベースのこと。 IPアドレス ネットワーク上で個々の通信対象を識別するための番号のこと。 (IPとはInternet Protocolのこと) ハイパーリンク テキスト同士を相互に関連附けて結びつける仕組み、 およびそのテキストのことを、ハイパーテキストといい 関連附けのことを「ハイパーリンク」という。「ハイパー」は「超える」という意味。 ダグラス・エンゲルバート(Douglas Carl Engelbart)が考案した。 ハイパーテキストの例としてWorld Wide Web(www)が有名。 FQDN インターネットやイントラネットなどのTCP/IPネットワーク上で、 ドメイン名・サブドメイン名・ホスト名を省略せずにすべて指定した記述形式のこと。 例えば、「www.e-words.ne.jp」はFQDNだが、 「e-words.ne.jp」はホスト名が省略されているのでFQDNではない。 タスクマネージャ タスクとは、OSから見た処理の実行単位。 一つのアプリケーションソフトが行なっている作業全体を一つのタスクと扱う場合が多い。 Windowsの操作画面で、画面最下部にあるOSの機能をまとめた、 灰色(もしくは青)の帯状部分をタスクバーと言い、 その中のタスクマネージャは、管理と設定ができる。 「苺○ンタマ」 記事にあるマルウェアと同種で、2004年9月に発見された。 「Trojan.Upchan」(シマンテックの命名)とも呼ばれるトロイの木馬。 内容的には今回のマルウェアと同じと言っても過言ではない。 トロイの木馬 正体を偽ってコンピュータへ侵入し、データ消去やファイルの外部流出、 他のコンピュータの攻撃などの破壊活動を行なうプログラム。 トロイの木馬はコンピュータウイルスのように他のファイルに寄生したりはせず、 自分自身での増殖活動も行わない。 トロイの木馬は自らを無害なプログラムだとユーザに信じ込ませ、実行させるよう仕向ける。 これにひっかかって実行してしまうとコンピュータに侵入し、破壊活動を行なう。 実行したとたん破壊活動を始めるものもあるが、システムの一部として潜伏し、 時間が経ってから「発症」するものや、他のユーザがそのコンピュータを乗っ取るための 「窓口」として機能するものなどもある。 スクリーンショット パソコンのモニター領域?すべてを画像として保存すること、または保存した画像の呼称 「山田ウイルス」 今回発見されたマルウェアの俗称。 一部では「山田君から送られて感染した」との書き込みがあったという。 記事にも書いてあったけど 「正体不明のファイルをダブルクリックするな!」 ってのは、基本中の基本だと思うんだけど(´∀`;) みなさんも気をつけましょうヽ(´ー`)ノ 
最終更新日
2005年04月17日 01時42分30秒
コメント(0) | コメントを書く
[気になるネタ] カテゴリの最新記事
|
