セキュリティホールを塞げ！ Trojan Horse - siszyd32.exe

昨年末、相談を受けて siszyd32.exe を駆除した過程をご紹介しましたが年が改まって新年になってから 同一の物かは確かめるすべがないのですが Webサイトを改竄するVirusが猛威を振るっています。大手企業をはじめ多くのサイトが改竄被害にあっている模様です。

インターネット上でも色々情報が出始めそれらを確認すると siszyd32.exe と サイト改竄Virusがどうも同一のものらしいです。

その対処の仕方も整理できつつあるみたいです。
それらの情報を元に万が一の場合に備えて PCのOSやアプリケーションの脆弱性にパッチを適用した方がよいと思います

以前のGumbler とよく似た感染行動をとるみたいです

今までに確認できた事実とネット上で公開されているでセキュリティホールの対処方です。

感染行動

すでに多くのサイトがこのGumblerに良く似たVirusによって不正に改竄されていますので誤って改竄Webサイト閲覧時した場合 ポート8080番を使ったWeb経由の攻撃を受けて感染します。

改竄サイトの index.html 等の末尾辺りに　

"　＜script＞/*G●U G●L*/　"
または
"　＜script＞/*C●DE1*/ "　

等で始まる JavaScript が埋め込こまれているらしい。

このコードを読み込んだとき 別の攻撃サイトから不正なJavaScript をロードし実行するようです。

最終的にトロイの木馬が落ちてきて次々にウイルスをダウンロードして実行するので感染したら最後、お手上げ状態になります。

僕が見たものは Symantec電子メールスキャナーが反応して画面いっぱいに電子メールスキャナーのメッセージで埋め尽くされていました。
大量メールを送ろうとしているみたいです。

攻撃に使われる脆弱性は以下アプリケーションのものと思われます。

Microsoft MDAC（Microsoft Data Access Components）
Snapshot Viewer、Microsoft Video Control
       → win.jpgをダウンロードして感染します
JRE Java Runtime Environment
       → JavaGame.jar をダウンロードして感染します
Adobe Reader
       → pdfupd.exe をダウンロードして感染します。

上記どれかの脆弱性を突いて攻撃を仕掛け、最終的にトロイの木馬が落ちてきます。
僕が確認した物は Windows の「スタートアップ」に「 siszyd32.exe 」を登録します

又、siszyd32.exe は感染後にログオンしたユーザ全員のスタートアップフォルダーに登録されます。

尚、スタートアップフォルダ内の siszyd32.exe は目視では見えません。

感染PCは以下のレジストリーキーは正常でしたので 今のところどうやって姿を隠しているのかは僕にはわかりません。

HKEY_CURRENT_USER￥Software￥Microsoft￥Windows￥CurrentVersion￥Explorer￥Advanced
    以下の名前を確認します
           "Hidden"  　         値は(1)が正しい値です
           "ShowSuperHidden"　  値は(1)が正しい値です

HKEY_LOCAL_MACHINE￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Explorer￥Advanced￥Folder￥Hidden￥SHOWALL
    以下の名前を確認します
           "CheckedValue"　　   値は(1)が正しい値です

以上３つのレジストリの値が【１】以外であれば全て【１】に正しく再セットします

僕が確認したPCは、何回目かのWindows再起動時に偶然 プロファイルを読み損なって起動した為に実態を確認する事ができました。

msconfig を起動してスタートアップフォルダタブをみると登録されています。

試しにスタートアップフォルダ内で同名(siszyd32.exe)のフォルダ等を作ろうとすると作成できないので感染が確認できます。

以下は インターネット上 で言われている感染後の行動です。

感染したPCが Webサイトを管理するPCだったりすると FTPアカウント、パスワードを抜かれて Webサイトが改竄されます。

サイトを管理していて FTPアプリにパスワードを登録している場合はパスワードは記憶させない設定に変更しておいたほうがよいでしょう。

アプリケーションソフトのセキュリティホールを塞げ！

攻撃に利用されるアプリのセキュリティホールの対処について

今回のVirusがアプリケーションの脆弱性をついて感染をひろげているとすれば PCにインストール済みのアプリケーションを確認して早急にセキュリティパッチを適用するか最新のバージョンにアップグレードする必要がありそうです。

最近はWindows自動更新で セキュリティパッチを適用している方は増えてきているのでしょうがインストールされているアプリケーション一つ一つまで気をまわして対処している方は少ないのではないでしょうか？

特に過去にインストールしてはいるもののほとんど使わなくなって今ではインストールされていることさえ忘れているアプリケーションソフトも多いのではないかと思います。

今回の Gumbler に類似した感染行動をする Virus等はその盲点を巧妙についてきていると言えるでしょう。

使っていないアプリケーションソフトは思い切って削除しておいたほうがよいと思います。
 
以下の対処は感染防止の為にすぐに行っておいたほうが良いでしょう。

Microsoft MDAC（Microsoft Data Access Components）

Windows Update で最新の状態にします。

JRE Java Runtime Environment

特にプラグインの更新を怠っている方は非常に多いと思います

今すぐ JREを最新版に更新してください

以下のサイトにアクセスして現在のバージョンの確認(Javaバージョンの確認ボタンを押します)

Java ソフトウエアのインストール状態の確認
http://www.java.com/ja/download/installed.jsp

バージョン確認後

最新バージョンがインストールされている場合は「正常な設定です」と表示されます。

インストールされている物が古い場合は今すぐダウンロードボタンが表示されます
ボタンを押すと

Java Recommended Version 6 Update 17 (ファイルサイズ: 10 MB)が表示されますので ダウンロードしてインストールします。

企業等の場合でファイアー越しだとうまくインストールできない場合がありますのでその場合はオフラインインストール版をダウンロードして更新を行います。

Javaダウンロードの一覧
http://www.java.com/ja/download/manual.jsp

JRE は新しいバージョンをインストールしても古いものが残っている場合があります

企業サイト等で問題を起こさないようでしたら古いバージョンの削除をお勧めいたします。

Adobe Reader

現在セキュリティホールの対策未対応の為、修正パッチが出るまでは一時的な回避策としてAcrobat Javascriptのチェックを外します。

Adobi Readerを起動して「編集」→「環境設定」を選択
JavaScriptをポイントしてAcrobat JavaScriptを使用のチェックをOFFにします。

尚、Adobe Reader、Acrobat の脆弱性修正は1月13日と案内されています

お使いのPCにインストールされいる場合に実行しておいた方がよいと思われます。

Adbe Flash Player がインストールされている場合
       とりあえず最新バージョンにしてください。

Quick Time がインストールされている場合
       とりあえず最新バージョンにしてください。

AntiVirus製品の対応について

確認した該当の感染PCにインストールされていたのは Symantec製品でしたので siszyd32.exe は 12月21日 に Symantec に検体を送信しました

12月23日に Symantec から解析終了のレスポンスがあり 12月24日 の定義ファイルからsiszyd32.exe に関しては検出可能

その他、色々な亜種があるみたいですので全てのパターンで検出可能になるまではまだまだ時間がかかると思います。

お使いのPC全体をバックアップしましょう

皆様のPCが幸いにしてまだ感染していなければ 上記の修正を行った後、バックアップをしましょう。

完全に駆除する事はむずかしいのではないかと思います

現在のところ 手動目視で siszyd32.exe をはじめとする幾つかの怪しいファイルを発見削除が出来ましたが、これが総てで完全に駆除したとは言い切れません。

色々な亜種が存在するみたいですし攻撃に使われる脆弱性も別のものに変化する可能性があります。

感染したらクリーンインストール

万が一感染した場合は クリーンインストールするのが一番良いと思われますので最新のバックアップから復元しましょう。

最近はイメージバックアップでよい製品が複数でておりますので いずれかのソフトでディスクを丸ごとバックアップしておくのが最善だと思います。

感染したら一刻も早く急いで行うこと

感染したPCがサイト管理PCの場合

感染していたいクリーンなPCから大急ぎでサイトのFTPパスワードを変更します。

サイト改竄の疑いがある場合

管理しているサイト内のファイルを確認して タイムスタンプ等が変更されている事に気づいた場合

思い切ってサイトを閉鎖して 総てのファイルを削除、バックアップから復元します。

その他、パスワードの変更

過去にインターネット上で一度でも使用したパスワードは総て変更する事をお勧めいたします。