セキュリティ

Dec 04, 2009

「avast!」誤検知(Win32Delf-MZG)でチェストに移動したファイルを手動で復元

昨日(2009.12.03)の昼過ぎ、ウィルス対策ソフト「avast!」のパターンファイルが更新された直後から、「トロイの木馬を発見しました!」という警告が複数回表示された。

昨日(2009.12.03)の昼過ぎ、ウィルス対策ソフト「avast!」のパターンファイルが更新された直後から、「トロイの木馬を発見しました!」という警告が複数回表示された。

昨日(2009.12.03)の昼過ぎ、ウィルス対策ソフト「avast!」のパターンファイルが更新された直後から、「トロイの木馬を発見しました!」という警告が複数回表示された。

Continue reading "「avast!」誤検知(Win32Delf-MZG)でチェストに移動したファイルを手動で復元"

| | Comments (4) | TrackBack (0)

Aug 06, 2009

ホームページ(IE)が開かなくなるウィルス(xvassdf)を手動復旧

今回はかなりてこずった。相談を受けた時点ではウィルスがどういう動作であるか分からなかったしホームページ(IE)が開かないと色々な修復操作ができないので大変だ。おまけにウィルスソフトのインストールがエラーでとまる。結果的に分かったことは、このウィルスはホームページの起動ファイル(homepage.inf)を書き換えてしまい、正常起動を妨げていること、Windowsインストーラー(msiexec.exe)を書き換えて正常に動作しなくする(ファイルサイズが同じだったため置換してもう削除してしまったがバックアップしておけばよかった)ことの2点だ。

よほど途中でリストアしようかと思ったが、今回はクライアントからの非常に強い要望があり、絶対に復旧させなければならなかった。膨大な時間を要したが、手動でシステムファイルを1件ずつチェックし、やっと上記の原因にたどり着いた。

感染源はUSB(またはホームページ)と思われるが、復旧を優先したため詳細は追跡できなかった(検体も完全に確保できなかった)。今回は本当にしんどかったが、とりあえず復旧してよかった。

似たような症状でお困りの方は下記よりご相談ください:
 PCウィルスによる被害の復旧・診断・予防

09.08.06(木)13:30追記:
IEが開かないと代替手段として FireFox を使っている人が多い。FireFoxだとPDFのリンクが開かない、スクリプトが動かない、などの問題があって結局IEが必要となる。同様の問題がある方はウィルス対策をしたほうがよい。なお、この記事のコメント欄でやり取りする範囲は相談無料ですのご利用ください。

| | Comments (1) | TrackBack (0)

Oct 14, 2008

http://online-scan.net/xv/ を踏まないように

http://online-scan.net/xv/ を踏むと変な実行ファイルを導入され、勝手に外部接続に行くようです。依頼を受けて調べたところ、たちまちavast!が反応した。依頼主はAVGをインストールしており、パターンも最新だったが通り抜けてしまった。調べてみると、現時点ではまだ日本語の情報がなく、McAfeeのサイト魚拓)に情報があった。

McAfeeの定義名:Downloader-ARL
avastの定義名: Win32:PureMorph [Cryp]
FortiNetの定義名: W32/PolySmall.BP!tr
F-Protの定義名: W32/FakeAlert.X.gen!Eldorado
Kasperskyの定義名: Trojan.Win32.Obfuscated.gx
Symantecの定義名: Packed.Generic.182

どうやらまだAVGには定義が無いようで、それで通り抜けたのだろう。

| | Comments (0) | TrackBack (0)

Sep 22, 2008

USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!

半年も前(2/17)の記事 
USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧 に対して、未だに連日100件を超えるユニークアクセスがあり、コメント数は128件、問い合わせメールも多数で、この零細ブログの中ではダントツの人気記事となっている。このウィルスの被害は相当広範囲に及んでいるようだ。今月はNHKのニュースでも取り上げられていてた。

様々な問い合わせを聞いて一番残念なのは、感染したPCをあっさりリストア(OSの再インストール)してしまうケースが非常に多いことだ。正確な統計は取っていないが、全体の7割くらいは泣く泣く再インストールしていると思う。このウィルスが手動駆除でほぼ完全に復旧できることを作業者が知らないためだ。しかも、感染したUSBメモリ・感染した内蔵HDD・感染外付けHDDがそのままだったため、せっかく感染PCをリストアしたのに繰り返し再感染するという悲劇的なケースに陥ってしまう。このウィルスに関しては、多くの場合、リストアは全く無意味だ。

私の場合、この半年間にあちこちから依頼を受けてこのウィルスの駆除作業を行い、(合計すると数十台の)感染PCを復旧させてきたが、感染PCをリストアしたケースは1件も無い。

どうせならリストアする前に問い合わせしてくれれば良かったのに、といつも心を痛めている。

ということで、改めて申し上げます。USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します。お問い合わせはお早めに、リストアする前にどうぞ!

なお、費用がかかっても良いから駆除作業しに来て欲しいとおっしゃる方は PCウィルスによる被害の復旧・診断・予防  をご覧下さい。

※本件に関するコメントは情報管理と利用者の利便を考えて USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧 のコメント欄に集約したいと思います。コメントされる方はそちらをご覧の上、そちらのコメント欄に書き込んで下さい。ただし、技術的な内容を伴わないものはこの記事にコメントなさっても構いません。技術的な内容のコメントをこちらに書き込みされた場合、管理者権限で引越しすることもあります。

| | Comments (0) | TrackBack (0)

Feb 17, 2008

USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧

※08.09.22(月)07:24追記:
関連記事を掲載しました:
USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!

※08.05.09(金)21:00追記:
くる太郎さんよりメールをいただき、ご自身による詳細なウィルス分析の記事をご紹介いただきました。次のリンクを是非ご覧ください。
 →mmvo.exeとの格闘-まとめ
執念深く分析し駆除するだけでなく、同様に困っている方のためにその過程を公開なさっています。くる太郎さんに敬意を表し、冒頭に追記します。(追記ここまで)

USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えたらウィルスに感染しているかもしれないので要注意だ。このウィルスはUSBメモリを介して感染が拡大する(Web経由でも感染する)。

先日このウィルスにやられた。ファイル削除など直接的な危害をもたらすウィルスではなかったが、手動駆除に相当の時間を取られた。

USBメモリを接続した瞬間、「q83iwmgf.bat」という不審なファイルが現れたので即座にテキスト・エディタで捕獲した。このファイルを見ていると、次の瞬間にはこのファイルが消え、今度は「autorun.inf」が現れた。こちらは捕獲に失敗し、すぐ消えてしまった。ショックだったのはこのウィルスをavast!が検出してくれなかったことだ。この瞬間に気づかなかったらウィルス感染に気づかないままだった可能性が高い。

Continue reading "USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧"

| | Comments (172) | TrackBack (1)

Jul 30, 2007

一時的にコメント欄に規制をかけます(承認制)

先ほどからコメントSPAMが大量に来ているため、一時的にコメント欄に規制をかけます。コメントは私が承認するまで公開されません。

07.07.31(火)08:51追記:
コメント欄の規制を解除しました。再度コメントSPAMが発生した場合、同様の処置を行う予定です。

Continue reading "一時的にコメント欄に規制をかけます(承認制)"

| | Comments (0) | TrackBack (0)

Jun 29, 2007

弱性が指摘された「+Lhaca」の修正版が公開

人気blogランキングに参加しています。一押しで順位が上がります。よろしくお願いします!人気blogランキングへ
順位案内用

一昨日の記事「LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見」の続報です。暫定対策が出ています。以下、「Lhaca」の作者ページより引用:


バッファーオーバーフロー問題について
http://park8.wakwak.com/~app/Lhaca/overflow.html

バッファーオーバーフロー問題に関するメールを頂きました。
該当する問題を消去したバージョンをこちらでダウンロードできます。

Lhaca121.exe
行ったこと:LHA展開処理内に存在したstrcpyをstrncpyに変更し、バッファーのオーバーフローをなくしました。

しばらくは本バージョンを正式版とはせずに、ここにおいておきます。詳細な動作確認が終われば正式版にします。


ということです。先日の私の記事を読んですでに「Lhaca」以外の解凍ソフトをご利用の場合、そのままで様子を見ることを推奨。この作者の書き方だとあくまで「暫定対策」版なので、特に理由がなければ、安定した「正式版」が出てから「Lhaca」に戻すのが懸命だと思う。

参照した記事:脆弱性が指摘された「+Lhaca」の修正版が公開

※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。

| | Comments (0) | TrackBack (0)

Jun 27, 2007

LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見

人気blogランキングに参加しています。一押しで順位が上がります。よろしくお願いします!人気blogランキングへ
順位案内用

LZH形式に圧縮されたァイルを解凍する時に、『「Lhaca デラックス版 1.20」のインストールされた日本語版 Windows XP 上で実行に成功した場合、Windows の Systems フォルダにバックドアが開く。』(LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見)という危険性があるとのことだ。

Lhaca は使用者も多いので影響の大きい話だと思うが、上記の記事はちょっと一般向け情報としては不親切。「日本語版」のWindows XP 限定というのも良く分からない。

シマンテック社のサイト(日本語)にも何も関連記事がない(2007年6月27日(水)06:00現在)。

どう対応すべきかなんとも言えないが、まずは「Lhaca デラックス版 1.20」がインストールされてないか確認し、該当する場合は他の解凍ソフト(「解凍レンジ」など)に切り替えることを推奨する(参考:圧縮・解凍フリーソフト一覧(vector))。

中途半端な情報で恐縮だが、ひとまず何も知らないよりましなので速報記事としてアップする。続報が入り次第、この記事に追記する(か新規記事を書く)予定

※つい最近(6/18)「avast! 4 Home Editionに乗り換え(もうトレンドマイクロもシマンテックもいらない)」という記事を書いたばかりだが、シマンテック社はこういう情報発信によって存在感をアピールしたいんだろうな、などどと考えてしまう。邪推かなぁ?

07.06.29(金)追記:
続報「弱性が指摘された「+Lhaca」の修正版が公開」をアップした。

※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。

| | Comments (0) | TrackBack (0)

Jun 17, 2007

avast! 4 Home Editionに乗り換え(もうトレンドマイクロもシマンテックもいらない)

人気blogランキングに参加しています。一押しで順位が上がります。よろしくお願いします!人気blogランキングへ
順位案内用

avast! 4 Home Edition 設定画面

avast! 4 Home Edition は高機能のウイルス・スパイウェア対策ソフトだ。「家庭用」かつ「非営利」なら無料だ。色々調べてみたが、これでもうトレンドマイクロもシマンテックもいらない。

avast! 4 Home Edition の特徴について説明してみよう。

avast! はチェコ共和国のソフト会社 ALWIL Software a.s. の製品だ。

ウィルス検出・ウィルス駆除といった基本的な機能がそろっているにもかかわらず(「家庭用」かつ「非営利」であれば)無料だ。最初にAVGを見たときも「無料でここまでやるか?!」と驚いたが、avast! はその上を行っている。これまでの無料ウィルス対策ソフトはどこか「無料ならではの使い勝手の悪さ」があったが、avast! はどこをどう見ても無料とは思えない。

また、Windows98 など古いプラットフォームでも動作する。私の場合、家族用の Windows98 搭載ノートPCが一台あり、気をつけながら使っていた。昨年でマイクロソフトのセキュリティ・アップデートも切れ、トレンドマイクロやシマンテックといった大手のウィルス対策ソフトにも見放された Windows98 だが、細々と使用している人がまだ私の回りにいる。 avast! のおかげで少しは息を吹き返すことが出来るだろう。

ただし、Windows98 で運用する場合には手動による設定(「Web シールド HTTP プロキシをマニュアルで設定するにはどうしたらいいですか」など)が必要なので、素人が知らずに使うのは危険だ。また、大きな問題はファイヤウォール機能がないことだ。XP以上ではファイヤウォールが標準で入っており問題ないが、Windows98 など古いプラットフォームで利用するならルータを入れなければ危険だ。

※(モバイル運用など)どうしてもルータが入れられない場合はファイヤウォール・ソフトを入れる必要がある。ファイヤウォール・ソフトは「Outpost」の無料版がお奨め(参考資料:ファイアウォール Outpost)。

トレンドマイクロやシマンテックの対応次第だが、ウィルス対策ソフトの市場は劇的に入れ替わることになるかもしれない。

自宅の一台のデスクトップ(WindowsXP)にはシマンテックを入れていたが、ライセンス切れを機会にライセンスを更新せず avast! に乗り換えた。しばらく使用して色々調べたが、今のところ全く問題がない。テストウィルス(eicar | THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE(英語ページ)(※注意!ウィルス対策ソフトが反応します!)の実験ももちろんOK。引き続き使用し、また経過をレポートしたいと思う。

avast! 4 Home Edition の画面例:

avast! 4 Home Edition ウィルス・スキャンの起動画面
ウィルス・スキャンの起動画面

avast! 4 Home Edition ウィルス・スキャンの操作画面
ウィルス・スキャンの操作画面

avast! 4 Home Edition ウィルス・スキャン対象フォルダ設定画面
ウィルス・スキャン対象フォルダ設定画面

avast! 4 Home Edition ウィルス検知メッセージ(画面の下部にポップアップ)
ウィルス検知メッセージ(画面の下部にポップアップ)

avast! 4 Home Edition ウィルス対処画面(ポップアップ)
ウィルス対処画面(ポップアップ)

ちなみに、「avast」はチェコ語だと思って自動翻訳(チェコ語→英語)で調べてみたが見つからなかった。どういう意味の単語かご存知の方はお教え下さい。

参照資料:
avast!4 Home Edition ライセンス取得日本語版 - avast!4ナビ
avast! Antivirusについての質問です。ウイルスを見つけるだけでなく、ウイルスの... - Yahoo!知恵袋
無料ウィルスソフトのススメ!
スラッシュドット ジャパン | IPA、Windows 98/Meの使用継続の危険性について注意喚起
ニュースになるかな、Windows 98/MEのサポート終了^^; - 最新ネット事情から読み解く、安全なインターネットの使い方
エコノミークラスからの手紙 マイクロソフト、Windows 98とMeに対するサポート終了
教えて!goo Win98です。マイクロソフトのサポート終了の事で

※セキュリティ関連の記事が結構たまっていたので、新カテゴリー「セキュリティ」を設定し、この記事から適用し、過去の記事も含めて整理した。

※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。

| | Comments (0) | TrackBack (0)

Jun 15, 2007

コメント欄に規制をかけます

人気blogランキングに参加しています。一押しで順位が上がります。よろしくお願いします!人気blogランキングへ
順位案内用

正体不明のコメントが連続したため、急遽コメント欄に規制をかけることにします。全てのコメントは管理者(私)が承認するまで公開されません。

という記事を書いている最中も意味不明なコメント投稿が続いているようなので、画像認証もかけます。

追記:07.06.15(金)05:30
規制した途端に止まりました。画像認証が利いたのかな?承認待ち規制は(私が)面倒なので解除します。すでに投稿・公開されている意味不明なコメントは全て閉じます(研究用サンプルとしてあえて削除しない)。投稿されたコメントは半角英小文字だけで、日本語(ローマ字読み)でも英語でもありませんし、その他の私が知っている言語ではありません。広告にリンクされているわけでもないし、一体誰が何のためにやっているのでしょうか?嫌がらせか?あるいは、このブログを使って暗号通信でもやっているのだろうか?全く意味不明です。

※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。

| | Comments (0) | TrackBack (0)