べつになんでもないこと

Twitterのウィルスが今夜（米国時間12/6-7）暴れている。このTwitterの検索にあるような、Goo.glで短縮されたモバイルのリンクをクリックすると、ウィルスが複製される。今分かっているかぎりでは、2つのURL: http://goo.gl/od0azとhttp://goo.gl/R7f68だが、ほかにもあるだろう。このワームは、過去7時間ぐらいのあいだに、アカウントをハイジャックしたり、新たなアカウントをたくさん作ったりして暴れているようだ。

（中略）

とにかく、完全に解決するまでは、疑わしいリンクをクリックしてはいけない。とくに、携帯のユーザが危ない。震源地がhttp://mobile.twitter.comのようだから。

で、一巡するころには他の短縮URLでとか？

今回…JREをアンインストールした状態で試してみたんですが…恐ろしい事に…この環境ですと…特に、何のメッセージも、表示されないのです…。

CPUやメモリが、異様に喰われる事も、ありません…。

（中略）

やはりSecurityToolのような、「Security Tool sueccessfully installed!」とかいうメッセージによる告知はありません。

これは絶対気づけない。

しかし一度パソコンの電源を落としたが最後、次に起動した時には

いらっしゃいませこんばんはー

Security Tool改めAntivirus Actionでーす！よろしくおねがいしまーす！

感染は巧妙になってもやることは同じなんですね……一番儲かる手段ってことなんでしょうねぇ。

IEのProxyに登録してるってことは、そこで集めた情報をどっかに送るんでしょうね。

解析ご苦労さまでした。本当にありがたいことです。
こういうのはいち速くlacがやってくれるといいんですけどねぇ。

これはマイクロアド広告の「Securiy Tool」感染騒動の時と同じものです。たた、QuickTimeの脆弱性（最新版なら修正済み）を悪用して強制ウイルス感染させる処理が追加されてる新バージョンとなってます。

　で、最終的に強制感染させられるウイルス（実行ファイル）は、IFRAMEタグごとに別々でした。

そのうち0-day中のIEの脆弱性も対応しちゃうんでしょうねぇ。

　どっかの日本のNPOのホームページ（すでに閉鎖されたみたい）に挿入された２つの不正なIFRAMEタグに直接アクセスして、ソフトウェアの脆弱性を悪用して強制発動することになるウイルス（実行ファイル）をそれぞれ手動で回収、普通にダブルクリックして感染させてみました。

感染結果の解説ご苦労さまです。
寄生型ウイルスまでいたのですね……

こちらも大変手間のかかった検証記事。
本当に、ご苦労さまです。
下手な専門サイトだとわけ分からなかったりなので、ありがたいかぎりです。

となにもしないでありがたがってばかり。^^;

復旧のための対策……Webサイトを閲覧した後、明らかにパソコンの動作がおかしくなり、ウイルスに感染した可能性があると感じられるにも関わらず、ウイルス対策ソフトによるウイルスの発見や駆除ができない場合、確実にウイルスを除去する手段として、PCを初期化する（購入時の状態に戻す）

感染の疑いでもクリーンインストール推奨の時代。
まあ、rootkitに入り込まれたOSからウイルスを駆除する手間を考えたら、早い、簡単、確実ですからねぇ。

　感染後にはルートキット機能によって自身の活動を隠ぺいしたり、別の不正プログラムを作成したりする。また、上記のような手口で別のコンピュータへの感染も試みる。これまでに被害は確認されていないものの、感染したWebサーバの公開フォルダにセキュリティ修正プログラムのダウンロードページを装ったindex.htmlファイルと自身のコピーを作成することも明らかになっている

もはやrootkitはお約束。

感染したら、クリーンインストール