新種のトロイの木馬型ウイルスと戦ってみた(myugaruの色々構想中・・・!)

まだWinnyとかShareとかやってる人いるんだねぇ・・・

実際にウイルスに感染している知り合いのPCを見てごにょごにょした内容です。
それより、WinnyとかShareだったらMyDocumentの内容漏れてないかなぁ・・・あれならNetAgentまで調査依頼を!w

最近流行しているP2Pを狙ったウイルス

最近はP2Pだとかネトゲなどのプログラムを頻繁に利用している場合、
それらの脆弱性に特化したウイルスが多く出回っているらしい。
この知り合いはあまりPCに詳しくは無い。
実はこのポート解放をしたのも私でその頃は確かWinny作者も捕まっていなかった。
当の知り合いも事件があってから怖くなってP2Pは使っていなかったという。
Winny作者が捕まった時に私が思い出して閉めに行ってればこんなことにはならなかったかも知れない。
本当に申し訳ないことをしてしまった。
今更言っても仕方ないのでとりあえず対処を考える。

Winnyでのウイルスは検体が少ない上に報告が無いので、検知されませんよねぇ。

海外製のウイルス対策ソフトでは殆ど無理と言っても良いかもしれません(日本独自P2Pだし)
現在対応されてるのは、TrendmicroとかSymantecくらいじゃないかな・・・

一番の問題はこのウイルスが相当最新作らしくトレンドマイクロの最新パターン
でも検出できないのだ。
GData社のエンジンはP2Pに特化したウイルスに効果があるらしい。http://gdata.co.jp/press/archives/2008/04/p2p_dl67.htm
さっそく30日体験版をインストールして検出を試みた。
しかし結果は残念ながら検出できない。
とりあえずサービスを止めなければ重くて何もできない。
色々試してみるとサービス停止ではなくサービス無効だとウイルスに
PC強制シャットダウンされないことがわかった。
面倒だがサービス変更コマンドSC.EXEでスクリプトを組んで400近くのサービス
全て無効にしてPCを再起動。
サービスは立ち上がらなくなった。
C:\Windows\system32\以下にウイルスが数百匹(!)居たのでそのうち一匹を
メモリースティックに採って残りを手で削除。
何度か再起動し不審サービスが全て立ち上がっていないことを確認。
そのままPC起動したまま一日放置してあるが何も起こらないようだ。
知り合いにはPCで使ったかも知れないカードはカード会社に連絡して使用不能にしてもらい一旦帰ってきた。

Winnyとかは脆弱性はあまりついてなくて、、、、実行ファイルを開くタイプかな。

脆弱性といえば、空白文字をたくさん入れて拡張子を隠すとか、UNICODEの逆表示を使って拡張子を偽装するとかくらいかな・・・(脆弱性じゃないけどw

まとめ

Winny以来あまりP2Pが利用されなくなったのかなあと思ったら、
意外とまだまだ密かに別のP2Pソフトの利用者は多く居るらしい。
そしてその脆弱性を突くウイルスも更に数を増しているようだ。
その進化速度は大手ウイルス検出ツールのアップデートを上回っている。
その多くは破壊活動はほとんどせず、PCを乗っ取ってパスワードを盗んだり、
踏み台にして他PCへ進入したり悪用しようとするトロイの木馬型がほとんどだ。
それらに一番効果的なのはポートを開けたりせずファイアウォールでしっかり進入を阻止する事だ。
最近の光通信ならPC自体にはローカルIPしか割り当たらないのでそれほど心配は無い。
しかし私のようにグローバルIPを割り当ててポート解放できるのも事実。
危険を承知でそういう事をしたいなら特化した検出ツールを導入した方が良さそう。
まあポート解放って何?というあなたは手を出さないに越したことはない。

screenshot