2010年9月2日木曜日

ウィルスなのか何なのか

非武装の実験機がウィルスに感染したかもしれない。

もともとローエンドで遅いのに、ブラウジングがさらに重くなったし、一部のサイトがタイムアウトするので、調査した所、***.static.ukrtelegroup.com.ua にDNSサーバーの指定が変わっていた。
(*** は伏字)

hostsファイルではなく、レジストリの変更が行われた。

特にセキュリティ系サイトにアクセスしようとすると、そのDNSサーバーはまともなアドレスを返さないらしく、ほぼすべてタイムアウトする。

非武装とはいえ、フローからすると特異な環境だと思うので、よくまあ感染したなと思った。

広告経由だったのだけど、ポップアップブロッカーはすり抜けて、メディアプレイヤーが起動、さらに Acrobat Reader 経由で何かしたらしい。


OSは XP の SP3。
ブラウザは Chrome。
メディアプレイヤーは VLC。
Acrobat Reader は 10.1。


この組み合わせでも、それは動いたので、似た構成の人は注意したほうがいいかも。

ウィルスのスキャンはパターン最新で3種類試したが検知せず。
プロセスもスキャンしてみたが検知せず。

実験機は容量が無いので、毎回キャッシュのクリアをしている。
キャッシュには何かあったのかもしれないが。

一応、全システムファイルのCRCがあるので、チェックした所システムには異常なし。
念のため主要なファイルのdiff もとったが異常なし。

目的がDNSの書き換えのみで、感染や潜伏を行うウィルスではないのかもしれない。

一応、気持ちが悪いので、バックアップのHDDと交換。

補足
DNSサーバーのアドレスが書き換わると、どこかにログインする時に、偽のページの飛ばされてIDやらPWDを抜かれる可能性が出てくるので注意しなければならない。

ukrtelegroup.com.ua はセキュリティ系のニュースで以前もみた気がしたけど日本ではあまり話題になっていない模様。

ukrtelegroup.com.ua自体が悪いわけではなく、悪党にもサービスを提供するという事が問題となっていたらしい・・・と日本語のセキュリティサイトのレポートにはあった。(と思う)
まあ同罪だとは思うが。

netstat の結果が、どうでてたかは忘れたが、普通にありえる状態だったと思う。
で、で見慣れないアドレスにアクセスした形跡があったので逆引きしようと nslookup をした時点で DNSのサーバーアドレスが、urktelegroup.com.ua になってたので、気が付いたというわけ。

修復は普通にネットワークの接続から。

以上。


0 件のコメント:

コメントを投稿