ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

2009/01/27(火) 一部の研究室におけるウイルス感染被害について

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

  1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
  2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
  3. システムの復元を無効に設定します。
  4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
    自動起動用のレジストリを削除するには、sysinternalsautoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
  5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
    典型的なウイルスファイル名を後述しています。
  6. 再起動します。
  7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
  8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
    なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
  9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
  10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
  11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

ドライブルート (C:\ など)a81lkgv.com, em0x.exe, hau1x6q.cmd, n1jttj8f.com, w.com, xj8guf.bat
C:\WINDOWS\system32afmain0.dll, afmain1.dll, haozs0.dll, haozs1.dll, ierdfgh.exe, mmvo.exe, mmvo0.dll, mmvo1.dll, pytdfse0.dll, pytdfse1.dll, revo.exe, revo0.dll, revo1.dll

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

  1. Extra.dat をコピーします。
    • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
    • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
  2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

  • Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
  • アプリケーションを最新版に更新してください。特に狙われやすいのは:

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.comierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllpytdfse1.dll にも対応されます。

  • DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
  • この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

  • ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
  • Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)


名前:  非公開コメント   

  • TB-URL(確認後に公開)  http://133.83.35.83/blog/vuln/0114/tb/