|
どっかの日本のNPOのホームページ(すでに閉鎖されたみたい)に挿入された2つの不正なIFRAMEタグに直接アクセスして、ソフトウェアの脆弱性を悪用して強制発動することになるウイルス(実行ファイル)をそれぞれ手動で回収、普通にダブルクリックして感染させてみました。  http://*****.com/mmmsss/fuduhqjnfqxwkokvgm2.php ... タイプA http://*****.com/gizmod/start.php?id=vlnd ... タイプB◆ 偽セキュリティソフト「Antivirus Action」 まずタイプBの方から。こっちはsmilebananaさんでも紹介されてるインチキな偽セキュリティソフトに感染します。偽ウイルススキャンのウィンドウが表示され正規版を購入するようギャーギャーわめく以外にも、レジストリをいじられて普通のブラウザからのネット接続がブロックされてしまいます。 ・ Antivirus Action 消したい・・・ (Yahoo!知恵袋) ・ Remove Antivirus Action (Uninstall Guide) (Bleeping Computer) ネットワーク越しに攻撃を受けてるとかいう右下の警告も偽ポップアップだよん ◆ 寄生型ウイルス「Ramnit」 次はタイプAです。こっちはハードディスク内に存在するすべてのEXEファイル、DLLファイル、HTMLファイルに不正なデータが引っ付いて自分自身を増殖するウイルスに感染します。上のインチキソフトと違って、こっちは目に見えて分からないので「あれ?」と気づいたときは後の祭り。 ・ W32/Ramnitウイルスについての考察 (McAfee Labs Blog) たとえば、感染後にHTMLファイルのサイズがなんでか200Kバイトぐらい増加しとる! 恐る恐る中身を見てみると、正しいデータの最後尾に不正なコードがキレーに挿入されてる寄生状態! ★ 2つの感染で。。。 (^^;
たとえば、目に見えて状況が分かる「Antivirus Action」の駆除に取り掛かるため、他のパソコンからUSBメモリで駆除ツールなりを持ってこようものなら、持ってきた駆除ツール自体が「Ramnit」により汚染され・・・(完) |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
おぉー、タイミングによって別のパターンもあるんですね。
私がはじめに出会ったタイミングでは二つのIFRAMEがそれぞれタイプA・タイプBを読み込もうとしてたんですが、タイプAのほうは確かドメイン自体につながらなかった為発動せず。
その後自宅で検証した時には二つのIFRAMEが両方タイプBに向いていた為Antivirus Actionしか発動しなかったようです。
やだわーいんたーねっとこわいわー
[ banana ]
2010/12/9(木) 午後 4:24
ファイルの差し替えをちゃぁんとやっとる感じですねぇ (^^;
Antivirus Actionを感染させるのは、4、6、8日に回収してきた3ファイルのハッシュ値が全部違ってて・・・
[ noooo_spam ]
2010/12/11(土) 午前 9:31