Home > サブカルチャー > ウイルスっすかー

ウイルスっすかー

まぁ、うちとこではないんだけど、ギルメンのりなんししょーのとこ。
世間一般で言う、トロイの木馬のURLがBBSに張ってあったということで、中の人、相当テンパってました(・∀・)

手口も巧妙で、実在するサイトの名前と紹介文もそれっぽく書いて、本気で踏ませてこようとしているのがなかなか。普通なら踏むわなこりゃ。今回見たURIはgTLD(要は.comとか.netとか)なのでURIだけでは判断しづらいかも。
該当のURLにはまずJavaでOS判定して飛ばし、とび先でmp3ファイルをDL(再生・実行)させるという形をとっているっぽい。これもJavaScriptで書かれている。ウイルス自体はりなん師匠のBlogでも書かれているけど、BKDR_HUPIGON.GEN(本家フピゴンの亜種にあたるんだそうな)というもので、動作自体はSystemに自身をインストール・サービス登録してバックドアを作るってな感じ。
バイナリの先頭は「MZKERNEL32.DLL」の文字列で始まっている。2chではROの垢抜きに使われている・URL張ってるのは中華、という話。

てな感じで、とりあえず落として来てAvast(0640-3,06/10/05)で検査。結果はOKで、Win32:Agent-AZD [Trj]と表示されますた。うちとこでは、MP3ファイルはQTで再生するようになっているので、ファイルのDLはOKでもQTがハテナ返してくるので、ウイルスのロードはされなかった様子。この後、念のためにローカルドライブのフルチェックしてみたら、ちゃんと発見してくれました。

被害者(りなん氏)曰くでは、どうみても中華のIPアドレスということだったので、中華BOTの主どもがちょこちょこと小細工をしてきている様子。初出は2006年の4月~っぽいので、メジャーなアンチウイルス系であれば対処できるだろうと思います。

ついでにAvast4でもオススメしておきます。→窓の杜のAvastページ今んとこ、自分の中でのフリーで最強のアンチウイルスソフト。機能もしっかりしてるし、ウイルスパターンはおぼ毎日アップデートされる、常駐しててもそんなに重くならない(PenM-2GHz)し、比較的ヒリキなマシン(VIAのC3とか)でも案外と快適に動いてくれるし、重宝しとります。

関連エントリ:

Comments:2

りなん 06-10-06 (金) 19:52

Yamaさんありがとう!
今もまだ結構テンパっているけども、昨日よりはましになりました
確かに、ジャンプ先でmp3をDLさせられるところで
バスターが隔離してくれましたよ

それで、リンクとトラックバックをさせていただきました!
本当にありがとうですよ!

Yama 06-10-07 (土) 0:21

トラバサンクスでごす。
VBの画面見てテンパってたのかw
確かにウイルス警告なんて普段見ないもんねぇ。
一回こういう事が有れば、次からは落ち着いて対処できるっしょw

PING:
TITLE:掲示板を見ている方へ
BLOG NAME:はちぽちblog
2006/10/5付の記事です
10/6追記

いつもサイトのほうに遊びにきてくださってありがとうございます
残念なお知らせではありますが、
掲示板の方にウイルスURLが張られてしまったので、皆さんにお知らせいたします。

掲示板の方にも注意の喚起をしましたが
こちら…

Comment Form
Remember personal info

Home > サブカルチャー > ウイルスっすかー

アーカイブ
Freearea

Return to page top