スモールビジネスのIT日誌

• (2012-01-06 17:07:50)

2012/01/06

1日目、原因不明のネットトラブル

元旦午前6時、新年用に書き換えたWebサイトのトップページをアップロードしようとしてネットワークが動作しないことに気づく。

ネットワークトラブルを疑う。調べるとメール、Web、ftpが全滅。唯一pingだけは通る。ということはネットワーク自体、物理的には動作している。原因不明でケーブルの接触不良なども疑った。

リブートするとDOS窓がポップアップして下記のメッセージ：

「dl.exe
　NTVDM CPUは不正命令を検出しました」

リブートするごとにこのエラーメッセージは頻度と回数と高めていった。

事情がさっぱり不明である。

「dl.exe NTVDM CPUは不正命令を検出しました」で検索するとブラウザの設定をリセットするとか、windows\system32下の「dl.exe」を削除するとか、いろいろなアドバイスがでているが、どれも効果がない。

この時点で気づいた現象：

・リブートすると、起動直後少しだけWebサイトにつながる。ネットワークが動かないというより、非常に重たい。

・リブートを繰り返すごとにエラーメッセージが多くなり悪化している模様。

ウイルスは疑わなかった

これまでウイルス被害の経験がほとんどなく、ウイルスを疑う気になれなかった。

理解不能な現象に出会うと「ウイルスのせい？」と考えるPC初心者は多いが、ウイルスが原因であることはまずない。

そんな経験からウイルス対策には意識が乏しい。以前入れていたウイルスソフトもいつの日からか入れなくなった。

(会社のPCには入れている)。

原因不明のまま、初日はこれで放置した。

2日目、PCトラブル拡大でウイルスと断定

2日目。元旦に発生したトラブルは翌日もう一台のPCでまったく同じ現象が発生。

時差で同じトラブルが発生したことで、ウイルスを疑うようになった。

以前に購入していたウイルスソフトを引っ張り出して流してみるとすぐに判明した。

Tenga.A

exeファイルのPEヘッダに自分自身を複製してバインドするウイルスらしい。ワームと呼ぶ人もいる。ウイルスとワームの違いはわからないので、ここではウイルスで統一する。

20万ファイルのスキャンで、2000ファイルが感染していた。

ウイルスソフトは「安全に駆除しました」といったようなメッセージを出してくれるが、一度感染したexeファイルは破損するようで動作不全となる。

ウイルス発症から1日で、PC内のほぼすべてのexeファイルが感染し、ウイルスソフトで駆除しても、もはや起動可能なプログラムは残されていなかった。

スキャン中作動していたプログラムはロックされて影響を受けなかったが、リブートすれば、もはやOSさえ立ち上がらない状況に陥る。

OSの再インストールしかなかった。

ウイルス対策ソフトもいろいろ

※追加情報：ウイルスソフトも数種類試したが、すべてこのウイルスを検知した。

検知した際の対応方法はそれぞれ違った。デフォルトの設定で「削除」するものと「駆除」するものがあり、駆除の場合でも、駆除後、exeファイルが復活したものがある(AVG)。

犯人は古典的な残党ウイルス

検索すると2005年ころ活動したウイルスで、かなり古典的な残党ウイルスに足をすくわれたことを知る。

今時、こんな古いウイルスではまったのかと唖然とする。

馬鹿にはできないものである。

Tenga.Aはウイルス対策会社によって呼び方はいろいろ。

・Gael (McAfee)

・Licum (Symantec)

・Tenga.3666 (F-Secure)

・PE_TENGA.A (Trend)

・Tenga.a (Kaspersky)

印象としては「PC内のファイルをスキャンして、exeファイルを見つけると手当たり次第、感染していく」感じだった。

また、ローカルPCだけでなく、ネットワークで共有されているファイルも次々に感染を拡大させる(共有フォルダを作成するリスクをはじめて体験。

悪意ある三者から見れば共有フォルダは絶好のターゲットになる)。

ウイルスの概要

下記はあるウイルス対策会社さんのTenga.Aに関する説明(http://www.casupport.jp/virusinfo/2005/win32_gael3666_a.htm)。下記の説明は体験した現象とよく合う。

--------------(引用)--------------

●感染方法：ローカル マシン上にあるすべてのファイルをスキャンし、見つけたWindows PEファイルすべてに感染

●ネットワーク感染：任意のIPアドレスのポート139をスキャンし、共有がオープンになっているマシン上のファイルに感染して増殖

●ペイロード：ウイルスはファイル「dl.exe」をドメイン「utenti.lycos.it」からダウンロードし、これを実行させます。このファイルは次に、さらに２つのファイルをダウンロード/実行：

・GAELICUM.EXE - ウイルスのコピー

・CBACK.EXE - バックドア コンポーネント

●バックドア機能：CBACK.EXEはポート4321上でバックドアをオープンし、Windowsコマンド プロンプトを使用したリモートの制御者からのコマンドを受信し、実行させます。さらに、オープンになっているポート番号が含まれた通知をvx9.users.freebsd.atドメインに送信します(新たなシステム感染を知らせるためと考えられます)。

--------------(引用ここまで)--------------

TCPポート139はNetBIOSに使用されているポートとのこと。

NetBIOSで共有されているネットワークファイルを探して感染していくそうだ。

インターネットではNetBIOSは使わないだろうから、事務所へのPCへの感染はないと期待したが、なんと事務所のPCも一部やられていた。

原因はDropbox。

Dropbox経由でリアルタイムに感染拡大

3日目。自宅PCは仕方ないにしても事務所のPCが感染すればビジネスへのリスクが大きい。

正月休みながら会社にでてチェック。

Dropbox内のexeファイルが20個程度感染していた。

しかし、ウイルスソフトがブロックしてくれており、それ以上の感染は発見されなかった。

電源を落としていたPCはもちろんまったく感染が見られなかった。

Dropbox内が感染したので、ローカルPC、およびDropbox社データセンタのサーバで自分のアカウントに割り振られたフォルダのすべてデータを削除した。

Dropboxサーバでは削除しても削除データが保管されている。どんなはずみでゾンビが生き返るかもしれない。

削除データも念のためすべて完全削除した(とはいえ本当に削除されたかどうかはDropbox社の仕様による。しかし、ここまでやれば再活性化の可能性は薄いと予想する)。

Dropboxは非常に便利であるが、同時にウイルス感染もリアルタイムに拡大させるパワーがある。

謎の感染ルートと消えた証拠

今回のウイルスは回復を急ぐあまり、証拠を残さずに、HDDのフォーマットとOSの再インストールを行った。

そのため今となってはレビューデータに事欠く。

そして、わからないことが多い。とりあえず下記の3点がもやもやしている。

・感染ルート・・・どこから？　いつ、どうやって？

・潜伏期間・・・・感染してすぐに活動したのか、はるか以前に感染していたのか？

・ウイルスの起動方法・・・何かを自分でダブルクリック？それとも自動起動？

感染ルート、ルータのポート開けが怪しいか？

ウイルスの侵入ルートの王道は下記あたりだろうか。

・メールに添付

・Webサイトのプログラム

・マクロが組み込まれたOfficeデータ

・USBメモリ

どれも思い浮かばない。が、はたと気づくと数日前から、自宅Webサーバのテストのためにルータのポートを80番から8800番まで開けていた。そして、忘れていた。

もしやこのポートからNetBIOS経由でWindowsの共有ファイルに取り憑かれた可能性を疑っている。

公のインターネット内でNetBIOSによる何らかのサービスは聞いたことがないが、使っている人々がいても不思議ではない。

プロバイダーに接続された各ユーザのルータのポートをスキャンしながら開いているポートがあれば入り込もうとするウイルスがあってもおかしくない。

ウイルスの起動方法

ウイルスがどのように起動できるのか？

ある記事にはレジストリが書き換えられていてOS起動時にいっしょに起動するとあったが、このウイルスはレジストリを書き換えないという記事もあり不明。

ルータからNetBIOSで侵入したとすると、共有フォルダ内のすべてのexeファイルが感染していたと考えられる。

そのどれかを元旦の早朝クリックしてローカルPCに感染を拡大させたのかもしれない。

ウイルスが活動を始めたのは元旦早朝か。

system32下にできていた「dl.exe」の作成日時は5時54分。この時刻、すでにウイルスの活動が本格化していたことがわかる。

なぜなら、そこにあった「dl.exe」はもとからそこにあるべきファイルではなく、ウイルスが活動を始めると、ある外部サイトからダウンロードされるものとのこと。

よって、ウイルスの起動自体はもっと前からと思われる。

なお、このウイルスは活動を始めると怪しい数種類のプログラムを外部からダウンロードし、それらのプログラムが、またローカルでポートスキャンなどやるらしい。

ネットワークが動作しなくなる原因はそれらウイルス活動からくる帯域の占拠によるものと考えられる。

ウイルスの本当の目的は何だったのか？

全然わからない。

第三者を困らせて喜ぶ愉快犯か。

もし愉快犯ならexeファイルを狙わず、ユーザデータの破壊を試みるはず。

exeファイルは自分が制作したプログラムでない限り、破壊されても購入できるし、ネット内やショップに溢れている。

ユーザにとって最も大切なデータはユーザが作成したオリジナルデータである。これに手を付けないところを見ると本当の愉快犯ではないように感じる。

ウイルス対策会社の説明によれば、このウイルスは外部サイトからバックドア用のプログラムをダウンロードし、最終的には遠隔操作を可能にすることが目的のように書いてあるところもあった。信じがたい。

それが目的なら、手当たり次第、すべてのexeファイルに感染させるようなことはしない。長期間気づかれずに潜伏することが重要である。

派手に感染すれば、そのPCを乗っ取る前にユーザにウイルス感染を知らせるし、そもそもPCが起動しなくなる。

PCの遠隔操作や乗っ取りという目標にはほど遠い。

データ保護へのショック療法的な意識改革

今回、ユーザデータが破壊されなかったので復旧は数日で済んだ。

もしユーザデータが破壊されたとしたら、かなり不幸な結果だった。

現在でも重要なデータは複数のPCに分散保管しているが、もう一つ対策することにした。

重要データは日常的には電源を入れていない、もしくは物理的にネットワークに繋がれていないデバイスに定期的にバックアップするべきだと考え直した。