Home > Archives > 2006-10-06
2006-10-06
ウイルスっすかー
- 2006-10-06 (金)
- サブカルチャー
まぁ、うちとこではないんだけど、ギルメンのりなんししょーのとこ。
世間一般で言う、トロイの木馬のURLがBBSに張ってあったということで、中の人、相当テンパってました(・∀・)
手口も巧妙で、実在するサイトの名前と紹介文もそれっぽく書いて、本気で踏ませてこようとしているのがなかなか。普通なら踏むわなこりゃ。今回見たURIはgTLD(要は.comとか.netとか)なのでURIだけでは判断しづらいかも。
該当のURLにはまずJavaでOS判定して飛ばし、とび先でmp3ファイルをDL(再生・実行)させるという形をとっているっぽい。これもJavaScriptで書かれている。ウイルス自体はりなん師匠のBlogでも書かれているけど、BKDR_HUPIGON.GEN(本家フピゴンの亜種にあたるんだそうな)というもので、動作自体はSystemに自身をインストール・サービス登録してバックドアを作るってな感じ。
バイナリの先頭は「MZKERNEL32.DLL」の文字列で始まっている。2chではROの垢抜きに使われている・URL張ってるのは中華、という話。
てな感じで、とりあえず落として来てAvast(0640-3,06/10/05)で検査。結果はOKで、Win32:Agent-AZD [Trj]と表示されますた。うちとこでは、MP3ファイルはQTで再生するようになっているので、ファイルのDLはOKでもQTがハテナ返してくるので、ウイルスのロードはされなかった様子。この後、念のためにローカルドライブのフルチェックしてみたら、ちゃんと発見してくれました。
被害者(りなん氏)曰くでは、どうみても中華のIPアドレスということだったので、中華BOTの主どもがちょこちょこと小細工をしてきている様子。初出は2006年の4月~っぽいので、メジャーなアンチウイルス系であれば対処できるだろうと思います。
ついでにAvast4でもオススメしておきます。→窓の杜のAvastページ今んとこ、自分の中でのフリーで最強のアンチウイルスソフト。機能もしっかりしてるし、ウイルスパターンはおぼ毎日アップデートされる、常駐しててもそんなに重くならない(PenM-2GHz)し、比較的ヒリキなマシン(VIAのC3とか)でも案外と快適に動いてくれるし、重宝しとります。
- Comments: 2
- Trackbacks (Close): 0
Home > Archives > 2006-10-06
