このwikiの更新情報RSS[山田ウィルスとは?]の変更点
「山田ウィルスとは?」の編集履歴(バックアップ)一覧はこちら
「山田ウィルスとは?」の最新版変更点
追加された行はこの色になります。
削除された行はこの色になります。
//@:なんか俺一人でここ書いてて寂しい(´・ω・)ス
//@:昨日誰か書いてくれたけど確実性が疑問だったのでコメント化しますた。
//@:pharmingと画像入り圧縮ファイルの「解凍」について追加。いちいち突っ込むの面倒。
//R:縦に長いのでアンカー打ってみた #contents使わないのは 他頁から直接飛べる様に
//@:サンクス。俺wiki使うの初めてなので助かるス。てか、ダウソの人達危なすぎ。うpろだに置かれたexe踏むなよ。。。
//@:ここの引き継ぎ誰かよろ。じゃ。
//
[[名前の由来>山田ウィルスとは?#由来]] [[症状>山田ウィルスとは?#症状]] [[感染源・感染経路>山田ウィルスとは?#感染経路]] [[感染確認方法>山田ウィルスとは?#確認方法]] [[駆除方法>山田ウィルスとは?#駆除方法]] [[被害の予防>山田ウィルスとは?#予防]]
----
**名前の由来&aname(由来)
友人の山田くんがメッセで送ってきた
youjo.exeを踏んで感染したという[[書き込み>誕生!山田ウィルス]]より。
**症状&aname(症状)
感染するとhttpサーバを立ち上げ、感染者のスクリーンショット((画面の画像のこと))やハードディスクの中身を参照可能な状態にします。
また掲示板に自らのリモートホスト((アドレスのようなもの))を書き込もうとします。
さらにhostsファイルを書き換えることによりマイクロソフトやセキュリティベンダーへの名前解決を妨害します((要はマイクロソフトやシマンテック、トレンドマイクロのサイトと繋がらなくなり、アップデートもできなくなる))。
&font(b,#000000){【危険】感染者に外部から任意のコマンドを実行可能にしてしまうようです。}
[[これを利用した攻撃の例がこちらです。>外人さん]]((この例では感染者に任意のURLをExplorerで強制的に開かせています))
掲示板への書き込みは亜種によって異なります。2ちゃんねる((世界有数の巨大掲示板))へ書き込もうとするものがほとんどですが、中にはJBBSなどに書き込もうとする亜種もあるようです。
リモートホストの晒し方も複数あり、IPアドレスとコンピュータ名を晒すもの、fusianasan((2ちゃんねるで自分のホスト名を晒す機能))を使うもの、グローバルアドレスからホスト名を所得するものなどが確認されています。
現在は2ちゃんねる側で対策が施されており、ウィルスによる書き込みはほとんど阻止されているようですが、トラップをすり抜ける新種も現れたようです。また、TCP/IPプロトコルを使っている限り&font(b){あなたのIPアドレスを所得する機会はいくらでもあります}。
亜種によってはUPnPを利用してUPnP対応ルータやWindows XP付属のファイアウォールを超えるものも確認されています((マイクロソフトはUPnPの脆弱性を認めているようで、Windows Server 2003ではUPnPのサポートをやめています))。
また、http://127.0.0.1/ではアクセスできないものもあるようです。
ウィルスが設置したhttpサーバはある程度のアクセスがあるとエラーを起こして終了します。
ウィルス本体のファイル名はsvchost.exeとなっているものが主流ですが、youjo(空白).exeやrundll32.exe、mdi.exeとなっているものもあるそうです。
起動時にウィルスが存在するフォルダの下にmellpon、fusianasan、kawaisosu、yamadaといった名前のフォルダを作り、ハードディスク内の全ファイルのリストをそこに置くようです。
**感染源・感染経路&aname(感染経路)
ShareなどのP2Pネットワークやうpろだ((Uploader。誰でも自由にファイルを置ける所))からファイルをダウンロードしてそれを実行してしまうことにより感染します。ロリ画像や少年ジャンプのスキャン画像、音楽関係のものなどが確認されています。
+&html(<IMG SRC="http://www3.atwiki.jp/yamada/?cmd=upload&act=open&pageid=7&file=exe.jpg" alt="偽装exeの一例">)
どうやらファイルの種類をアイコンで判断し、フォルダを開いたつもりで実行してしまうケースが多いようです。
このときウィルスが同名のフォルダを作成し、その中に本物のファイルを設置するため感染したことに気づきにくいようです。
感染時にウィルス本体を%ProgramFiles%内のランダムなフォルダの下にコピーし、Windows起動時にウィルスを実行するようにレジストリまたはスタートアップを書き換えます。hostsファイルが書き換えられるのはどうやらこのタイミングのようです。C:\boot.iniも書き換えるようです。
なお、山田亜種Makerというものも流通していて、これによりウィルスに任意の画像を埋め込んで偽装することと2ちゃんねるへの投稿文の改変が可能になっています。
**感染確認方法&aname(確認方法)
[[ニュイルススレの通報屋氏が山田チェックツールを公開しています。>http://blog.livedoor.jp/antiny_virus/]]
なお、これを使って疑いがあるとされた場合でも、次にあげる確認方法を試してみて全て大丈夫であった場合は、安心していいと思います。((強力な新種が現れる可能性もありますので、これらの方法で問題ないとしても油断は禁物です))
-http://127.0.0.1/をブラウザで表示させ、~ss.jpgやC.htmlといったものが見えるならば、感染しています。http://127.0.0.1/~ss.jpgで自分の画面が表示されても感染しています。
-上のリンクで見えない場合、ウィルスによりブロックされている可能性もありますので念のために[[プロキシを使って自分のホストをブラウザで表示>串での確認方法]]させてみてください。
-メモ帳などでC:\Windows\system32\drivers\etc\hosts"というファイル((Windows XPの場合))を開いてみて「127.0.0.1」以外のIPアドレスが記載されていたら感染している可能性があります。なお「#」で始まる行はコメントとして無視されるので問題ありません。
-svchost.exe((標準でWindows 9xには存在しません。Windows 2000ではC:\Winnt\system32、Windows XPではC:\Windows\system32に存在))やrundll32.exe((標準でWindows 9xではC:\Windows、Windows 2000ではC:\Winnt\system32、Windows XPではC:\Windows\system32に存在))、mdi.exe((Windowsのシステムファイルにはありません))といったプログラムが実行されていてそれが標準の場所以外にある場合、ウィルスの可能性が高いです。実行されているプロセスを調べるには[[SlightTaskManager>http://http://uechoco.s14.xrea.com/download/stm.html]]というソフトが便利です。
-上で書いてあるファイル名のプログラムが実行されていないからと言って、安心してはいけません。できましたらひとつひとつ実行されているプロセスを調べ、覚えのない物があったら下の駆除方法を試してみましょう。ただし、本来必要な物まで消してしまう可能性がありますので、設定を元に戻せるように作業時は逐一メモを取ってください。
//
//@:下は削除予定。
//-「スタート」→「ファイル名を指定して実行」→「cmd」と入力しEnterキーを押してください。黒い画面が出てきたら半角文字で「netstat -a」と入力しEnterキーを押します(netstatと-aの間にはスペースが必要です)。これであなたのPCのネットワーク接続状況のリストが表示されます。その中に「TCP あなたのPC名:http あなたのPC名:0 LISTENING」((一行に http と LISTENING という単語がある場合))という表示があった場合、感染の確率が高いです。(もしあなたが今現在HTTPサーバー系ソフトウェアを使用しているならば、感染の確率は低いと言えます)
//
//@:Windows標準で初心者が気づかずにIISが入ってる場合もあるス
//@:あといくつかのソフトで80番待ち受けるのもあるからポト空いてるだけで感染は無理があるス
//
>svchostプロセスの起動している数は環境によってまちまちです。また、svchostプロセスのユーザー名で判断する方法は今のところは有効ですが、SYSTEMというユーザー名で動かすことも技術的には可能ですので、安心できません。実行されているプロセスの場所を特定した方がより確実となります。
**駆除方法&aname(駆除方法)
&font(b,#000000){悪質な攻撃を受ける可能性がありますので、感染していると分かったらすぐにLANケーブルや電話線を抜いておくことをお勧めします。}
まずウィルス本体の位置を確認してください。
確認したら、レジストリエディタ((ファイル名を指定して実行で「regedit」とする))を起動し、左のツリーから
+HKEY_LOCAL_MACHINE
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
と開き、ウィルス本体が記述されている箇所があったら削除します。次に
+HKEY_CURRENT_USER
+Software
+Microsoft
+Windows
+CurrentVersion
+Run
を開き、同じように削除します。
スタート→すべてのプログラム→スタートアップを見て、上から順番に右クリック→プロパティを実行し、そのリンク先がウィルスだったらもう一度スタートアップの該当するものを右クリックして削除します。
メモ帳を起動して開くを選び、ファイルの種類を「すべてのファイル」にしてファイル名の欄に「"C:\Windows\system32\drivers\etc\hosts"」((Windows 9xの人は「C:\Windows\hosts」を、Windows 2000の人は「Windows」を「Winnt」に読み替える))と入れて開きます。
「#」で始まる行と「127.0.0.1 localhost」という行以外のものがあったらそれらを全て削除して上書き保存しましょう。
これらの操作後、再起動して山田ウィルスらしき挙動が確認できなければ、まず大丈夫です。ウィルスの活動が止まったことを確認したら、ウィルス本体をフォルダごと削除しましょう。
誤って重要な物を削除してしまわないように、メモを取りながら作業することをお勧めします。
また、これらの作業は自己責任でお願いします。
>&font(b,#222222){なお自由にコマンドを実行可能なため、感染している間に何をされていてもおかしくありません。念のため使っていたハードディスクを全てフォーマットし、システムを完全に入れ直した方がいいでしょう。}
>やり方がよく分からない方は「クリーンインストール」という言葉を自分で調べてください。
**被害の予防&aname(予防)
''P2Pは使わない''
OpenNapクライアント((WinMX、うたたねなど))、WinMX、Winny、Shareといったファイル共有ツールを使用していると、ウィルスに感染する確率が飛躍的に上がります。
これらのツールは使わないようにしましょう。
''拡張子は表示させる''
エクスプローラのツール→フォルダオプション→表示というところで「登録されている拡張子を表示しない」というチェックを外しましょう。
これによりファイルの種類をファイル名から特定できるようになります。
フォルダのアイコンで拡張子((ファイル名の末尾の「.」(ピリオド)以下の部分))がexeならばそれはアプリケーションです。
ただし、多数の空白が拡張子の前に挿入されている場合もありますので注意しましょう。
''hostsファイルをチェックする''
www.hoge.comといったURIを123.45.67.89といったIPアドレスに変換する時に参照されるhostsファイル((Windows 9xではC:\Windows、Windows 2000/XPではC:\WinntまたはC:\Windowsの下のsystem32\drivers\etcにあります))を書き換えられてしまうと、セキュリティベンダーのサイトが見られなくなったり[[ファーミング詐欺>http://allabout.co.jp/computer/internetlife/closeup/CU20050508A/]]にあったりします。これを防ぐために、Windows 2000/XPではNTFSというファイルシステムの機能を用いてhostsファイルのアクセス権を制限するという方法があります。やりかたは、hostsファイルを右クリックしてプロパティを選び、上のタブからセキュリティを押します。次に、継承可能なアクセス許可を…の所のチェックを外し、削除を選びます。名前欄が空欄になったら右の追加を押してEveryoneを追加し、アクセス許可は読み取りのみにしておきます。Windows 9xの方や、NTFSを利用していない方は何日かに一度、メモ帳等でhostsファイルを開き、先頭が「#」の行と「127.0.0.1 localhost」という行以外が記述されていたら全て削除してください。
''怪しいリンクや添付ファイルは開かない''
掲示板やメールなどに記載されたアドレスにウィルスが潜んでいる場合があります。
例え拡張子が画像ファイルのようでも実際は違うものがありますので注意しましょう。
''専用ツールを使う''
自己解凍ファイルのアイコンを使ったウィルスも普及していますので、その形式に対応した解凍ツールを使いましょう。[[WinRAR>http://www.diana.dti.ne.jp/~winrar/]]などが多機能でお勧めです。
なお、解凍ツールによっては指定したフォルダと違う場所に展開してしまうものもあります。
解凍したらスタートアップに何か追加されていないか確かめた方がいいでしょう。
画像を見たいだけの場合は[[書庫形式のまま中身が閲覧できるビューア>http://www.geocities.jp/comicview7/]]も多数あります。((たまにヲチスレで解凍してる奴が信じられんといった書き込むがありますが、私に言わせてもらえばこれらのビューアはHDに展開せずにメモリ上に展開しているだけです。解凍しないで画像を見ることはできません))
''ルータを導入する''
ルータを設置して外部から繋がれるのを防ぎましょう。
ただし設定でポートはできるだけ閉じておき、UPnP機能は無効にしておきます。
ルータによっては外部からでも設定が変更できてしまうものもあります。
そのようなルータの場合は買い換えるか、認証パスワードを複雑で長いものにしておきましょう。
''ファイアウォールを導入する''
Windows XP標準のファイアウォールは信用せず、他のファイアウォールを導入しましょう。無料で使える[[ZoneAlarm>http://jp.zonelabs.com/]]は設定も容易です。
''アンチウィルスを導入する''
アンチウィルスソフト((ウィルス対策ソフト))を入れて、なおかつアップデートはこまめにしましょう。
せっかくソフトを入れていても有効期限が切れていたり無効になっていたりしたら意味がありません。
買うのがどうしても嫌ならば[[無料のアンチウィルスソフト>http://ringonoki.net/tool/antiv/1-antiv.html]]もあります。
しかし、山田のような新種のウィルスには役に立たないことが多いので過信は禁物です。
''システムは最新に''
ソフトウェアにバグはつきものなので、使っているソフトが更新されたらできるだけすぐに新しいものを導入してください。Windows Updateもこまめに利用して、環境をできるだけ最新のものにしておきましょう。
''重要なデータはハードディスクに保存しない''
クレジットカードの番号や暗証番号、顧客リストなどをハードディスクに保存しておくと何らかの拍子でネット上に流出してしまう((某公務員さんは公のパソコンでWinnyを使用し、かなりの数の個人情報をばらまいてしまいました))恐れがあります。
このようなデータはできるだけパソコンに入れずに管理し、どうしてもコンピュータで処理させたい場合はUSBメモリなどの外部媒体を利用しましょう。
ハードディスクで運用する場合そのパソコンを外部ネットワークから切り離すことを勧めます。
''アイコンを標準のものから変えておく''
フォルダやzipファイルのアイコンをWindows標準のものから変えておくだけでそれが本当にフォルダやzipファイルなのか見分けやすくなります。
''htmlメールは表示しない''
Windows付属のOutlook Expressでメールを開いた場合、勝手に添付してあるhtmlを開いてしまいます。
他のメールソフトを利用し、htmlは開かない設定にしておきましょう。
OE以外を使っていてもhtmlを表示する設定の場合、そこから弱点が突かれる可能性があります。
''ネットについて勉強する''
プロトコルやポート、パケットといった用語や、名前解決・ルータの役割、などについて自分で勉強してください。人に頼っていてその人任せにしていると、[[その人が勘違いをしていた場合>スーパハカさん]]に対処できなくなります。わからないことは人に聞く前に[[Google>http://www.google.com/]]等で調べる癖をつけましょう。
なお一部の雑誌では&font(b,#000000){「悪用厳禁!」}や&font(b,#000000){「無修正画像全部ぶっこぬき!」}などと題して暗に読者に犯罪行為を促している物があります。
このような雑誌は決して信用しないように注意してください。
----
''山田ウィルスデータ参考''
ヤマイモ木から生えてくる観察ブログ:山田ウィルス
http://nemoba.seesaa.net/article/2891535.html
