新Gumblar関連?真っ黒の画面にマウスカーソルだけ ― 2009/10/23 20:36
黒い画面にマウスカーソル (Win32/Daonol) - セキュリティホール memo
日本のセキュリティチーム (Japan Security Team) : 黒い画面にマウスカーソル (Win32/Daonol)
追記:2009.10.24 土曜日 急 - UnderForge of Lack
妙というのが判断しづらいですよね……「<random>.拡張子(tmpとか) <random>」な感じという認識でいいのかな?
うちのレジストリを見たところ
"aux"="wdmaud.drv"
"aux1"="wdmaud.drv"
"midi"="wdmaud.drv"
:
"midi4"="wdmaud.drv"
のようにaux?とmidi?は全て"wdmaud.drv"でした。
追記2:判断しづらいなんて書いてしまったものだからG`nome様がわざわざ解説を……
す、すいません。m(_ _)m
2009.10.25 日曜日 - UnderForge of Lack
は真っ黒で
aux?やmidi?にフルパスがあったらかなり黒いグレーで
tmp、bak、dat、oldのようなドライバーと関係なさそうな拡張子だったら限りなく黒と思えばよさそうですね。
今のぞいてみたらDrivers32でフルパスなのは
"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
だけでした(カスタマイズによって違うでしょうけれど)。
※新しいGumblarはレジストリを隠蔽するようになったので、感染したWindows上からはmidi9が確認できなくなっています。
富士通のサポートがつながりにくくなるくらい多発中のようです。
電話お問い合わせ窓口の混雑について(お詫び) - AzbyClub サポート : 富士通
前回程酷いことにはならないのではと思っていたのですけれど、陥落サイトが前回程ではなくても、感染するユーザは爆発的に発生するってことですか……考えが甘かった。orz
いや、前回は感染しても気がつかなかった(なにしろ改竄を告知しなかったり、告知してもウイルスには全く触れてないサイトがたくさんありましたから)けれど、今回はWindowsが起動しないために発覚したとも考えられるなぁ……
関連
Gumblar攻撃再開(要注意)……対策
新Gumblar感染拡大中(要注意)……対策のリンクなど
Gumblar再襲来?……特徴など
(前回)gumblarが話題になり始めたのはいいのだけど……
参考
今のところ、対Gumblarはカスペルスキーがベストらしい。
バリバリー! - pluto の日記
レジストリの破損により Windows XP を起動できなくなった場合の回復方法 - Microsoft
Windows XPが立ち上がらない! そのときの対処法 - @IT
4. 回復コンソールによる復旧(1)
Windows XPが立ち上がらない! そのときの対処法 - @IT
5. 回復コンソールによる復旧(2)
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到 - So-net セキュリティ
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには? - 情報漏えいと戦う現...:ITpro
起動できないPCのレジストリを操作可能な「REG LOADコマンド」を活用
[Windows XP] Win32/Daonolウイルスに感染したときの対処方法を教えてください。 - AzbyClub - サポート : 富士通
Windows PE を使ったレジストリ修正については、たとえば、Windows PE 完全活用ガイド[Technique 3]オフラインの状態でレジストリを編集するには?(ComputerWorld.jp) を参照。
日本のセキュリティチーム (Japan Security Team) : 黒い画面にマウスカーソル (Win32/Daonol)
さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。
Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが
(中略)
Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、 WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\<random>.tmp <random>"
追記:2009.10.24 土曜日 急 - UnderForge of Lack
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]midi?=だけでなくaux?=もですか。
の aux(nnn)= midi(nnn)= の各エントリに妙なファイルが設定されている部分です。
妙というのが判断しづらいですよね……「<random>.拡張子(tmpとか) <random>」な感じという認識でいいのかな?
うちのレジストリを見たところ
"aux"="wdmaud.drv"
"aux1"="wdmaud.drv"
"midi"="wdmaud.drv"
:
"midi4"="wdmaud.drv"
のようにaux?とmidi?は全て"wdmaud.drv"でした。
追記2:判断しづらいなんて書いてしまったものだからG`nome様がわざわざ解説を……
す、すいません。m(_ _)m
2009.10.25 日曜日 - UnderForge of Lack
Drivers32 に設定されるファイルは eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.oldなど、ランダム + tmp bak dat old詳細は「UnderForge of Lack」を見ていただくとして、大雑把に
登録時に Document~1\user\LOCALS~1\Temp のように、マイドキュメントへのフルパスが入っている
というところでしょうか?
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]"midi9"="C:\\WINDOWS\\<random>.tmp <random>"は真っ黒で
aux?やmidi?にフルパスがあったらかなり黒いグレーで
tmp、bak、dat、oldのようなドライバーと関係なさそうな拡張子だったら限りなく黒と思えばよさそうですね。
今のぞいてみたらDrivers32でフルパスなのは
"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
だけでした(カスタマイズによって違うでしょうけれど)。
※新しいGumblarはレジストリを隠蔽するようになったので、感染したWindows上からはmidi9が確認できなくなっています。
富士通のサポートがつながりにくくなるくらい多発中のようです。
電話お問い合わせ窓口の混雑について(お詫び) - AzbyClub サポート : 富士通
前回程酷いことにはならないのではと思っていたのですけれど、陥落サイトが前回程ではなくても、感染するユーザは爆発的に発生するってことですか……考えが甘かった。orz
いや、前回は感染しても気がつかなかった(なにしろ改竄を告知しなかったり、告知してもウイルスには全く触れてないサイトがたくさんありましたから)けれど、今回はWindowsが起動しないために発覚したとも考えられるなぁ……
関連
Gumblar攻撃再開(要注意)……対策
新Gumblar感染拡大中(要注意)……対策のリンクなど
Gumblar再襲来?……特徴など
(前回)gumblarが話題になり始めたのはいいのだけど……
参考
今のところ、対Gumblarはカスペルスキーがベストらしい。
バリバリー! - pluto の日記
いろいろ試してみましたがカスペルスキー先生はことごとく検出しました。ニュース・リリース|アンチウイルス・アンチウイルスソフトの【 カスペルスキー 】
マルゼンスキー並の独走を見せるカスペルスキー先生の今後の活躍にご期待ください。
カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。
□ 評価版 http://www.kaspersky.co.jp/trials
レジストリの破損により Windows XP を起動できなくなった場合の回復方法 - Microsoft
Windows XPが立ち上がらない! そのときの対処法 - @IT
4. 回復コンソールによる復旧(1)
Windows XPが立ち上がらない! そのときの対処法 - @IT
5. 回復コンソールによる復旧(2)
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到 - So-net セキュリティ
以前のDaonolは、自身をシステムのオーディオドライバとしてauxに登録。今回のDaonolは、midi(現行はmidi9)に登録
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには? - 情報漏えいと戦う現...:ITpro
起動できないPCのレジストリを操作可能な「REG LOADコマンド」を活用
[Windows XP] Win32/Daonolウイルスに感染したときの対処方法を教えてください。 - AzbyClub - サポート : 富士通
コメント
_ 結城 ― 2009/10/23 22:13
_ puppet ― 2009/10/24 01:07
不治痛はGumblar関連だと認識してない節が……それでもおざなりに違いないですがw
|友人にメールで警告でも出そうかなと
それはおすすめしないですよ。
いろんな意味でトラブルの元になりかねませんから。
|友人にメールで警告でも出そうかなと
それはおすすめしないですよ。
いろんな意味でトラブルの元になりかねませんから。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/10/23/4650610/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
・Windows Updateには触れているが、Adobe Reader/Flash Playerについて触れていない
・「信頼のおけないWebサイトにアクセスしないようにする」という旧態依然とした対応を薦めている
この2つの点で片手落ちですね。
(ここで愚痴っても仕方ないわけですが)
自分はBlogで警告するだけでしたが
そうも言ってられなくなってきたので友人にメールで警告でも出そうかなと。
「起動しなくなる」というクリティカルな脅し文句が使えるので、みんな素直にアップデートしてくれるんじゃないかなぁと期待。
ついでにAdobeも「起動しなくなる」というクリティカルな状況を作り出してしまうアップデートプロセスを改善してくれるといいのですけど。