2005.08.21 Sunday
キーロガーにやられてた!!
■キーロガー、食らってた
先日。。ノートPCにNorton Internet Securityをインストールして再起動すると、ノートン先生から警告が。
「ftp.exeがインターネットに接続しようとしています(確かこんな文章)」
は?
ftp.exeってsystem32ディレクトリに入ってるやつで、windowsのデフォルトのftpツールでメモ帳みたいなもんでしょ?なんでこれがスタートアップで起動してんの?しかも接続しに行ってる?
怪しい。
てなわけで、ぐぐってみた。…ビンゴ!
http://winfaq.cool.ne.jp/logs/2k/0809.html(リンク先消失)
(リンク先消失のためweb archiveのリンクをどうぞ。文字化けしてたら、ブラウザのエンコードをシフトJISにすると読めるはず)
リンク先の掲示板の [385061] の書き込みと全く同じ症状じゃん。要約すると、
…ビンゴどころかアウトどころか大アウトというか!!!アレですよ、横断歩道を歩いてたら車に直撃したくらいの衝撃で再起不能と書いてリタイヤと読んでしまいますよ!!あ、取り乱して失礼。
コレってこれまで入力したことのある 文章、検索ワード、URL、メールアドレス、パスワード、アカウントID、キャッシュカードの口座番号、暗証番号、その他もろもろが ftp.angelfire.com に送信されていた、ってことに…
いや、もう血の気引きまくりましたよ。マジで。とりあえずそのPCはOSからクリーンインストールしましたが。まぁ、このPCでネットで口座を参照したり決済したり、といったお金を使ったことがなかったのと、実被害が出ていない(はず)のが不幸中の幸いか…。
■キーロガーの実体を探す
なんでだろう?これまでもNorton Internet Securityの2003をインストールしていて、ファイアウォールON、当然Norton AntiVirusのリアルタイム保護もONにしていたのに…
とりあえず、Cドライブをウイルススキャンしてみる。
……(5時間後)…… 何も見つからねぇーー!!!
Why?なぜ?現に windowsディレクトリにある sample011.zip がリアルタイムで更新されてるよっ!
仕方ない、ここはフリーのスパイウェア検出ツールを使おう。(「スパイウェア」意味はこちら)ってことで
・Spybot 説明サイトはこちら
・AD-Aware 説明サイトはこちら
をインストールして検出してみた。
…(数時間後)… やっぱり何も見つからんとです。
あー、どうしよう。一体どいつがキーストロークをログってるんだ。うーん。キーロガーを検出するには…ここはいっちょ 「キーロガー 検出方法」 とかでぐぐってみるか。
…おっ。ビンゴ!こいつだっ。
・KL-Detector
早速インストールし、使ってみた。
ハイ、大当たり〜。。
…認めたくはなかったんだけど、sugarballはキャリアだったんだね orz。
どうやら sample011.zip の他に tmp.edb にログが書き込まれている様子。ノートン先生でも検出・駆除できないので、OSを再インストールして…あぁ、貴重な休日が再インストール作業で無くなっていく…
■どこで感染したか
仕事で使っていたPCなので、あやしいツールやソフトはインストールしていないはず…まぁフリーソフトは結構インストールしていたのですが。。それにファイル共有ソフトの類もインストールしていないし…
あ。心当たりが。。ログファイルの送信先 ftp.angelfire.com なんですが、angelfireってドメインは昔(今も?)は無料のHPスペースを提供していたんですよ。で、angelfireで(HPスペースの)アカウントを取得することを「天使炎で垢をとる」なんて一部の人間が言ってた気がします。
そのことを思い出したsugarballは「今はどーなってんだろ」と思い、 http://www.angelfire.com/ にアクセスした記憶が…確かそのときは広告が開きまくったのですぐブラウザを閉じたような。。ってまさかソレ!?100%確定じゃないけど、検証するにも個人的にはangelfireドメインのサイトには2度と近づきたくないわけで。。
■所感
いや、もうセキュリティは注意しましょうとしか言いようが無いんですけど、という以前にどうやったら身を守れるんでしょ。sugarballのPCはノートン先生をインストールしていてファイアウォールもONでウイルス定義も最新だし、定期的にウイルススキャンも行っています。にも関わらず感染してしまうということは、結局怪しいサイトには近づかないくらいしか自衛手段が無いかもしれませんね。それと、怪しい兆候があればとことん調べること。こちらは感染後の対応手段ですが、今回ftp.exeが勝手に起動していた現象を調べて行き着いたように、普段は考えられないような現象が起こったときに原因を探してみることですね。あと、今回ノートン先生が役に立たなかったように、アンチウイルスソフトやスパイウェア検出ツールを過信しないことです。
てなわけで、セキュリティには気をつけましょう。口座番号や暗証番号が抜き取られて悲惨な目に合わないように。。
あー、そういえば。。一般的に言われている、「定期的にパスワードを変更する」って、キーロガー仕掛けられていたらむしろ逆効果じゃん。新パスワードが速攻でバレるし。。
先日。。ノートPCにNorton Internet Securityをインストールして再起動すると、ノートン先生から警告が。
「ftp.exeがインターネットに接続しようとしています(確かこんな文章)」
は?
ftp.exeってsystem32ディレクトリに入ってるやつで、windowsのデフォルトのftpツールでメモ帳みたいなもんでしょ?なんでこれがスタートアップで起動してんの?しかも接続しに行ってる?
怪しい。
てなわけで、ぐぐってみた。…ビンゴ!
(リンク先消失のためweb archiveのリンクをどうぞ。文字化けしてたら、ブラウザのエンコードをシフトJISにすると読めるはず)
リンク先の掲示板の [385061] の書き込みと全く同じ症状じゃん。要約すると、
・キーストロークのログが C:/windows/sample011.zip に保存される
・バックグラウンドでMS-DOSプロンプトが起動する
・ftpにより、ログファイル sample011.zip が ftp.angelfire.com に送られる
…ビンゴどころかアウトどころか大アウトというか!!!アレですよ、横断歩道を歩いてたら車に直撃したくらいの衝撃で再起不能と書いてリタイヤと読んでしまいますよ!!あ、取り乱して失礼。
コレってこれまで入力したことのある 文章、検索ワード、URL、メールアドレス、パスワード、アカウントID、キャッシュカードの口座番号、暗証番号、その他もろもろが ftp.angelfire.com に送信されていた、ってことに…
いや、もう血の気引きまくりましたよ。マジで。とりあえずそのPCはOSからクリーンインストールしましたが。まぁ、このPCでネットで口座を参照したり決済したり、といったお金を使ったことがなかったのと、実被害が出ていない(はず)のが不幸中の幸いか…。
■キーロガーの実体を探す
なんでだろう?これまでもNorton Internet Securityの2003をインストールしていて、ファイアウォールON、当然Norton AntiVirusのリアルタイム保護もONにしていたのに…
とりあえず、Cドライブをウイルススキャンしてみる。
……(5時間後)…… 何も見つからねぇーー!!!
Why?なぜ?現に windowsディレクトリにある sample011.zip がリアルタイムで更新されてるよっ!
仕方ない、ここはフリーのスパイウェア検出ツールを使おう。(「スパイウェア」意味はこちら)ってことで
・Spybot 説明サイトはこちら
・AD-Aware 説明サイトはこちら
をインストールして検出してみた。
…(数時間後)… やっぱり何も見つからんとです。
あー、どうしよう。一体どいつがキーストロークをログってるんだ。うーん。キーロガーを検出するには…ここはいっちょ 「キーロガー 検出方法」 とかでぐぐってみるか。
…おっ。ビンゴ!こいつだっ。
・KL-Detector
早速インストールし、使ってみた。
ハイ、大当たり〜。。
…認めたくはなかったんだけど、sugarballはキャリアだったんだね orz。
どうやら sample011.zip の他に tmp.edb にログが書き込まれている様子。ノートン先生でも検出・駆除できないので、OSを再インストールして…あぁ、貴重な休日が再インストール作業で無くなっていく…
■どこで感染したか
仕事で使っていたPCなので、あやしいツールやソフトはインストールしていないはず…まぁフリーソフトは結構インストールしていたのですが。。それにファイル共有ソフトの類もインストールしていないし…
あ。心当たりが。。ログファイルの送信先 ftp.angelfire.com なんですが、angelfireってドメインは昔(今も?)は無料のHPスペースを提供していたんですよ。で、angelfireで(HPスペースの)アカウントを取得することを「天使炎で垢をとる」なんて一部の人間が言ってた気がします。
そのことを思い出したsugarballは「今はどーなってんだろ」と思い、 http://www.angelfire.com/ にアクセスした記憶が…確かそのときは広告が開きまくったのですぐブラウザを閉じたような。。ってまさかソレ!?100%確定じゃないけど、検証するにも個人的にはangelfireドメインのサイトには2度と近づきたくないわけで。。
■所感
いや、もうセキュリティは注意しましょうとしか言いようが無いんですけど、という以前にどうやったら身を守れるんでしょ。sugarballのPCはノートン先生をインストールしていてファイアウォールもONでウイルス定義も最新だし、定期的にウイルススキャンも行っています。にも関わらず感染してしまうということは、結局怪しいサイトには近づかないくらいしか自衛手段が無いかもしれませんね。それと、怪しい兆候があればとことん調べること。こちらは感染後の対応手段ですが、今回ftp.exeが勝手に起動していた現象を調べて行き着いたように、普段は考えられないような現象が起こったときに原因を探してみることですね。あと、今回ノートン先生が役に立たなかったように、アンチウイルスソフトやスパイウェア検出ツールを過信しないことです。
てなわけで、セキュリティには気をつけましょう。口座番号や暗証番号が抜き取られて悲惨な目に合わないように。。
あー、そういえば。。一般的に言われている、「定期的にパスワードを変更する」って、キーロガー仕掛けられていたらむしろ逆効果じゃん。新パスワードが速攻でバレるし。。