「mstmp」系ウィルス補完計画 - ハニーポッターの部屋(情報元のブックマーク数)
このメモを出せるd:
id:connect24hさんがすごい!!!
というか見えない敵を相手に戦った半月とても大変だったでしょうね・・・お疲れ様です。
私が管理するネットワークで、10/1より戦っていた「mstmp」系ウィルス(仮称)がやっと大手ウィルスベンダーでも報告があがってきた。
「mstmp」系ウィルス補完計画 - ハニーポッターの部屋
国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
が、意図したものか、そうでないのかわからないけど、結構、情報が抜けているようなので、私が知っていることを補完しようと思う。今、嫁の実家で資料も手元にないので、メモですまん。
ウイルス本体を当初から検知できていたのが気付きの点、でも追加もあったみたい。
・今回、比較的被害が少ないのは、ウィルス本体のlib.dllが当初からウィルス検知・駆除できていたから。mstmpがウィルス判定されたのは10月6日以降。ちなみに、advbho.dllがウィルス判定されるようになったのは、10月20日早朝から。
「mstmp」系ウィルス補完計画 - ハニーポッターの部屋
・トレンドマイクロのサイトでは正規サイトが改ざんとあるが、実際には某サービス会社のサーバに毒が埋め込まれた可能性が高い。現在、原因を調査中なのと、今のところ被害が収束しているので、会社名公開は自粛。
・某サービス会社がやられているので、Proxyログだけで感染元を特定するのは至難の業。特に、mstmpにウィルス対策ソフトのパターンファイル対応が10月6日なので、感染時と、ウィルスとしての検知時間とに、タイムラインの断絶があるためmstmpがいつ仕込まれたのか調べるのが大変。
証拠を掴むのにPBHが役立ったみたいです。
・閲覧した大手サイト、そしてその大手サイトが利用している某サービス会社のサーバ、そしてそこに埋め込まれた毒入りJavaScriptが実行されて、複数のドメイン(確認しているだけで3サイト以上)の攻撃ツール配布サイトに誘導という動きをするため、動きがわかった後にProxyのログをみて初めて感染ルートがわかる。ちゃんと証拠をつかむには、パケットブラックホールなどのネットワークフォレンジックツールがないと、超面倒。 ・ちなみに、うちが把握しているツールの配布IPアドレス群。10月18日(月)の時点の情報なので、今も生きていたら別のIPアドレスが使われている可能性がある。とりあえず、クラスCで下記IPからProxyログを洗うのが吉。そうすれば事件の全貌が見えてくる。 64.27.25.223(224以降たくさん) 85.17.209.3 88.80.7.152
「mstmp」系ウィルス補完計画 - ハニーポッターの部屋
kikuzouさん、kamezouさんが特に良い仕事をしたとのこと!!!!!!!!!8888!zou団△!!!
ってことで、第5回セキュリティうどんは、年末忘年会風味(某社おごり!?)ウイルス解析インシデント発生と対策かな?!>d:id:port445:detail
・トレンドマイクロのコーポレート版Ver.10を使っている某企業さんではほとんど被害がなかったらしいので、もしかして、Webレピュテーションがうまく働いた? ・個人的なイメージだけど、今回のウィルスの対応の早さで言うと、トレンド○イクロ>シ○ンテック>マ○フィー。マ○フィー、何やってんの。 ・zou団@k4mez0u君、@kikuzou君たちは特に良い仕事をされたので、第5回 セキュリティうどん(かまたま) 香川で詳細な報告を楽しみにしています。その時には、うちのウィルス解析担当の若い衆連れて遊びにいきます。
「mstmp」系ウィルス補完計画 - ハニーポッターの部屋
・御礼JPCERT/CCの中の人。某社に対して圧力になった気がします。
・苦言。IPAの中の人、「もうウィルス配布が収束しているから、IPAは関知しないので、当事者同士で話をしてくれ」はないと思う。それでいいのかIPA!というか、話した相手が悪かったのか?担当者がはずれだった?
Trendmicroの佐藤さんの解析Blogがあがっていますが、国内100社で発生しているととのこと!!!
トレンドマイクロでは、”mstmp” や “lib.dll” といったファイル名で拡散する不正プログラムの攻撃により、日本国内の企業において100社以上の感染被害が発生していることを確認しています。
国内100社以上で感染被害を確認。"mstmp" "lib.dll" のファイル名で拡散する不正プログラム | トレンドマイクロ セキュリティブログ
詳細については調査中である点が残っておりますが、現時点で判明している攻撃の概要をお知らせするとともに、注意喚起致します。
lib.dllやmstmpがGoogleの検索エンジンのトップに上がっていたとのこと!!!
また、「TROJ_DROPPER」ファミリの不正プログラムによってダウンロードされる「TROJ_EXEDOT.SMA」が “lib.dll” といったファイル名であったことから、”mstmp” や “lib.dll” がどのようなファイルであるのか疑問を持ったユーザにより、Google などの検索エンジンのキーワード検索ランキングでも一時上位に上がっていたことを確認しています。
国内100社以上で感染被害を確認。"mstmp" "lib.dll" のファイル名で拡散する不正プログラム | トレンドマイクロ セキュリティブログ
しかし、「TROJ_EXEDOT.SMA」が接続する不正なWebサイトには調査時点でアクセスすることができず、攻撃者がどのような意図で本攻撃を実施したのかはまだ明らかになっておりません。
トレンドマイクロのサポートセンターへの問い合わせは、2010年10月14日以降、100社を超える法人ユーザから感染被害の報告を受けています。
IBMSOCからも情報が出ています。
東京SOC では、2010年9月29日頃から、mstmpというファイルに関連するウイルスに感染したクライアントPCが外部のC&Cサーバーにアクセスしようとする通信を大量に検知していることを確認しました。これは、ドライブ・バイ・ダウンロード攻撃によって、クライアント・アプリケーションの脆弱性を悪用されてウイルスに感染した端末から送信されています。
https://www-950.ibm.com/blogs/tokyo-soc/entry/dbyd_mstmp_20101027?lang=ja
キーマンkikuzouさんのBlogでも書かれていますね!
大阪府で興信所比較@完璧な調査会社はココ【最新版】
- コントロールパネルから「インターネットオプション」を開きます。
- 「プログラム」タブにある「アドオンの管理」を選択します。
- 「Internet Explorerで使用されたアドオン」の中に、身に覚えのないブラウザヘルパーオブジェクト(以下BHO)が存在しないか確認します。
- IE8の場合は、「すべてのアドオン」で表示
- 下図のように「lib.dll」が登録されていた場合、ウイルスに感染している可能性があります。
濱本さんが大変な顛末をITPROで記事にされています。これは必見ですよ>みなさん!
今回は予定を変更して、緊急のご報告をさせていただきたい。筆者は10月初旬より「mstmp」というファイル名のウィルスに悩まされていた。このウィルスが発見されてから3週間近くが経過しているにもかかわらず、2010年10月26日現在でインターネット上に情報が公開されているのはトレンドマイクロ社のブログ(該当サイト)のみである(その後、JPCERT/CCによる注意喚起と東京SOCによる報告も公開)。
いきなり襲ってきた「mstmp」ウィルスに大わらわ | 日経 xTECH(クロステック)
zou団が大活躍だったそうだ!!!
以上、今回のウィルス感染事案で筆者が把握している情報を速報としてお伝えした。実際の被害を受けた企業の対策の一助となれば幸いである。最後に、今回の分析に技術協力いただいたラックの新井悠氏、@kamezou氏、@kikuzou氏にお礼を申し上げる。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(5ページ目) | 日経 xTECH(クロステック)
関連URL
