いきなり襲ってきた「mstmp」ウィルスに大わらわ - セキュリティ、ここが不安:ITpro(情報元のブックマーク数)
情報を出すことで、協力できる。素晴らしい濱本さんと新井さん、zou団のmstmpウイルス顛末。
実は、このウィルスの感染ルートに関する公開されていない最新情報を、筆者および共同で今回の事案に対応した人たちとの間で保有することができた。このウィルス発見の初動から、ウィルスの感染経路を探っていく過程で非常に貴重な体験をした。今回は、その経験と併せて、この新種のウィルスの技術情報をITpro読者と共有していこう。
いきなり襲ってきた「mstmp」ウィルスに大わらわ | 日経 xTECH(クロステック)
まず疑うのは誤検知。そりゃそうだ。
この時点では筆者は、ウィルス対策サーバーによる誤検知を疑っていた。過去数カ月の間に、3度ほどウィルスを誤検知する騒ぎがあったからだ。具体的には、圧縮ソフトLhaplusによる自己解凍型ファイル、プリンタドライバ、リモートアクセス用SSL-VPN装置のJavaプログラムの一部のDLLファイルが誤検知された。これらの誤検知についても、今回の案件と同じように、複数の企業や複数の個所で相関性なく同様のパターンで検知報告が届けられたため、同じパターンではないかと疑ったわけである。
いきなり襲ってきた「mstmp」ウィルスに大わらわ | 日経 xTECH(クロステック)
検体はウイルス、さてまずは、経路だよな、あと影響範囲、ファイル検索かな。
Symantec社に送った検体について、ウィルスという判定報告があった。そのため、何らかのウィルス感染事案が発生している可能性が高いという結論となり、侵入経路が問題となった。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(2ページ目) | 日経 xTECH(クロステック)
ここがポイントですね、Twitterで新井さんとkamezouとkikuzouがmstmpの話をしているのを確認して情報共有、情報交換、
とはいえ、ウィルス感染にほぼ間違いないのに、いつまでも放置しておくわけにもいかない。そこで、ウィルス名「mstmp」「lib.dll」をキーワードにインターネット上を継続的に検索していた。だが、当初はヨーロッパやアラビア語圏の記事しか報告されていなかった。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(2ページ目) | 日経 xTECH(クロステック)
10月15日の金曜日以降になって、セキュリティベンダーであるラックの新井悠氏、インターネット上のセキュリティ研究集団zou団のメンバーである@kamezou氏と@kikuzou氏が、Twitter上でmstmpという名前のウィルスについてツィートしていることを発見した。そこで、これら3氏に直接連絡を取って情報交換した。
PacketBlackholeにて感染経路とか内容を確保したとの事、こういうのは本当にうれしい。
なお、これらの感染経路の調査にはネットワークフォレンジック機器のパケットブラックホールが使われた。今回のような複数のドメインをまたがり感染経路が多岐に渡るような場合、本当にどこが攻撃元かを判定するのは、ドメイン遷移しかわからないプロキシログの情報だけでは至難の業である。実際のWebコンテンツの中身を解析して見てはじめて、そのコンテンツがウィルスに感染していることが判明するわけで、今後はウィルス対応にネットワークフォレンジック機器の重要度は増すことが予想される。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(3ページ目) | 日経 xTECH(クロステック)
zou団△!!!!!!!
@kamezou氏と@kikuzou氏の協力により、上記のように感染経路とウィルス動作の全貌が分かった。だが、インターネット上でまったく今回の事件について情報がまとまっていなかった。そのため、IPA、JPCERT/CC、そして、今回の火元と思われるアクセス解析サイトの管理会社と情報交換しながらまとめたのが今回の報告である。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(5ページ目) | 日経 xTECH(クロステック)
ウイルスとして検知してくれれば良いけど、検知してくれないと全然わからない。複数のウイルス対策ソフトで検査ってのが必要なのかもな。
ちなみに、今回のウィルスに関しては、10月15日の夕方以降はウィルス感染の具体的な報告は上がってきていない。今回の事件としては収束方向にあると考えてよいだろう。しかしながら、筆者たちが確認した経路以外にも、まだ感染経路が存在する可能性は残っている。アクセス解析サイトの管理会社からちゃんとした報告があるまでは、ここで紹介した調査内容を参考にウィルス感染監視の警戒レベルを上げて要監視体制を維持したほうが無難だろう。例えば、ここで紹介したウィルス配布サイト、ファイルアップ用サイト、制御用サイトのIPアドレスやドメインは、URLフィルタやファイアウォール、IPSなどで遮断することが考えられる。
いきなり襲ってきた「mstmp」ウィルスに大わらわ(5ページ目) | 日経 xTECH(クロステック)
実際の被害について、どのようなものがあったのか具体的には確認されていない。幸いなことに、筆者の環境では当初からウィルス本体のlib.dllがウィルス判定としてされていた。lib.dllの後継であるAdvBHO.dllが出てきた10月6日ごろには、今度はダウンローダのmstmpがウィルスとして判定されたことで、運よくパンデミックやステルス状態になることはなかった。だが、一部のウィルス対策ベンダーでは、初期設定ではウィルス判定がなかなか浸透されずに被害が広がった企業もあるようだ。企業のセキュリティ担当者は、ぜひ一度確認してみることをお勧めする。
TrendmicroのBlogでアフェリエイト目的とのことが解析されています。
上記5)から、この不正プログラムは、「Clicker(クリッカー)」と呼ばれる不正プログラムが持つ機能を備えていることがわかります。
ユーザを「クリッカー」に感染させることにより、不正プログラム作者はアフィリエイトで金銭を得ているものと推測されます。
アフィリエイトによる金銭取得が目的か!? -"mstmp""lib.dll"攻撃続報 | トレンドマイクロ セキュリティブログ
