++ NOD32 ホームページを見ただけ感染するウィルスを検出 ++


2019.9.30リンク切れ修正 2004.11.12 11.17Rev.

NOD32  ホームページを見ただけで感染するウィルスを検出

● ホームページを見ただけで取り込んでしまうウィルス
● アンチウィルスソフトの実力を確認する方法

インターネットを見るだけでウィルスが取り込まれる現場に直面するとたまげます。

ウィルスバスター2004とかAVG7.0でウィルスの検出はこれまでも何回も経験していたのですが、 NOD32 では初めてです。たまたまあるサイトを徘徊していたときにひっかかったものです。特にウィルスファイルを意図して見ようとしたわけでなく、なにげなくあるページを開いたら下図の検出結果が表示されたものです。
ツイート


このウイルス Win32/TrojanDownloader.Small.HF trojan はトロージャンといい、トロイの木馬型の一種です。
ここ Spyware Information Center のデータベースにも同じものはなく新種なのか、近い兄弟は登録されています。
それによれば、
TrojanDownloader.Win32.Small.hg ・・・・の説明は、 
A program designed to retrieve and install additional files, when run. Most will be configured to retrieve from a designated web or FTP site.
でまさにトロージャンの機能です。



トロイの木馬といわれるぐらいで、敵城にひそかに侵入して内側から門を開けさせる役目があり、コンピュータ内に侵入しデータを漏洩させたり、キー入力を収集させるように外部からコントロールできるものです。
トロイの木馬とは・・・
遠い昔、 紀元前の話で、ギリシァ軍とトロイ軍が戦っていた。
トロイ軍の城は守りが堅く、ギリシァ軍は攻め倦んでいた。
そこでギリシャ軍はトロイ軍に対して小さな戦いをしかけ、そこに大きな木馬を残してさっさと引きかえった。
それを見たトロイ軍は「しめた!」と思い、その中にギリシャ兵が隠れているとも知らず城の中に持ち帰った。
その夜、木馬に隠れていたギリシャ兵士が城の門を内側から開けて友軍を導きいれトロイ軍に勝った。


このウィルスはビットマップファイルを装っており、拡張子bmpだけを見ていては見破ることができないものです。
ウイルスソフトによっては発見できないか、または発見が遅れることも予想されるのでアンチウィルスソフトの実力を確認する題材にすることもできます。

もちろん感染の危険がありますので、自前で対処できる方はどうぞ・・・、感染しても責任はとれませんのであらかじめ了解してください。
Time Module Object Name Virus Action User
2004/11/12 7:36:21 IMON file http://www.pojie.net/ads/daqiang.bmp Win32/TrojanDownloader.Small.HF trojan connection terminated MEBIUS\xxxx

この表の見方で重要なポイントは2点、VirusAction です。
ウィルスの名前からウィルスの種類がわかり、それに対してどういう処置をしたかがわかります。
この例ではトロージャンを見つけ、取り込む前にその接続を強制終了して未然に防いだということです。

daqiang.bmp ファイルの見てくれは、このようにみえます。

 この画像はGIFファイルに変換済みで、もちろんトロージャンは抜き取ってあり、単なる画像データですのでご安心ください。


たしかに外見は見てのとおり画像ファイルですが、一見して怪しい?画像だなぁ・・いうのがわかります。
これはSteganograpy・深層暗号などを使って画像データとか音声データなどのファイルの中に、こっそりと目的のプログラムなりデータを仕込んでしまおうとするものです。この例ではビットマップファイルですが、これをバイナリエディタで見ても目的のプログラムは判読できないのものです。「わあっ、こわ!」

ホームページ上にこのようなファイルを掲載させるのは悪意があってのことで、不注意で載せてしまったなんていうことは間違ってもありません。
ネット上にはこのような輩がいっぱい存在するのでちゃんと機能するアンチウィルスソフトのインストールは欠かせないです。


【 アンチウィルスソフトの実力を確認する方法
アンチウィルスソフトというのは本当に機能しているかどうかを確かめる方法はそんなにありません。メーカー発表を信じるしかないのが現状です。
そこで、何千とあるウィルスのひとつですが、ソフトが看板どおり動いているかどうかのチェック方法をご紹介します。感染のリスクがゼロではなくそれを納得して試してみてください。もっとうまい方法をご存知の方がお見えでしたらお教えいただけましたらうれしいです。

(1)  http://www.pojie.net/ads/daqiang.bmp (削除されている)のファイルをフロッピーディスクにダウンロード(保存)します。ハードディスクでは心配で、フロッピーなら抜いておけばコンピュータに勝手に入り込むことはないのでリスクが減ります。

***トロージャンですから罪悪感があるんでしょうね!? そのファイルは神出鬼没で数時間後にはもうそこにはなくなっていました。さすが逃げ足が速い!!テストできなくて残念!!
足が付かないように一箇所にとどまらず、またどこかで仕掛けるだろうと思います。証拠物件は保存しているのでまたアンチウィルスソフトの実力試験をやってみようとおもっています。

(2) ちゃんと機能する アンチウィルスソフトならば、ダウンロードしている途中(まだ、フロッピーに書き込み動作を開始する前・・・ここがポイント)に検出アラートがでるはずです。
もし出ないにしてもその記録があるはずです。なにも警告もでないで書き込みが終了したらそのアンチウィルスソフトにはホームページを見るときのウィルス検出機能がないか、あっても役立たずということになります。

(3)  検出の時点でダウンロードが止まるのでアンチウィルスソフトの検出動作を無効にして書き込みを完了させます。

(4)  書き込みが終わった後で、そのファイルに対してウィルス検査をすれば当然ですがちゃんと 検出します。

まぁ、このトロージャンが検出されないソフトはまずないですが、もし(4)の検出もできないのであれば乗り換えが必要でしょう。

【 合否の判定 
検出機能
評価
まったく検出されない × 即アンインストール、「安心」という誤ったメッセージを与えかねないので・・・
フロッピーへの書き込みが終了した後ではじめて検出された  「ないよりはマシ」の類のソフト
フロッピーへの書き込みが始まる前に検出された  ホームページを見ただけで感染するのを防いでくれる機能を持っている

ちなみにNOD32アンチウィルスソフトでは、インターネットでの検出機能は「IMON Internet Monitor」で、取り込んだファイルの検出は「NOD32」が別々に担当しています。

ただし、このようなソフトでももろ手をあげて安心はできません。
ウイルスは新種が毎日出ており新しいものに対応できている保障はありませんので、アップデートは欠かせないことはいうまでもありません。

もくじへ    ホームページを見ただけで感染するウィルスを検出その2
ツイート

inserted by FC2 system