弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

DOS/Rovnix.VてStuxnetの部品なんじゃね update3


ルイジアナ州の裁判所から召還状が来たのが始まり。この添付ファイルを開いたらウィルスに感染してしまった。 正確に言えばマイクロソフトのセキュリティ・エッセンシャルのリアルタイムモニターは検知できたが感染をブロックできなかったと言うのが正しい表現かも。

ウィルスにc:\windows\explorer.exeの起動環境を細工されてしまったぁ。ログイン後に起動されるexplorer.exeが空振りするのでスタートボタンやアイコンが表示されない状態になる。explorer.exeのファイルを感染してないPCからコピーしてもなおらない。原因はexplorer.exe以外のDLLにあるのだ。

とりあえずの回避方法はなんとexplorer.exeを別の名前でコピーして HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon のshellを変更すること。w
Windows Explorer (nor Ie Explorer) Is Balky - WinXP

Corrupted explorer.exe file fix:

Make a copy of explorer.exe in the same file it's located (usually C:\WINDOWS). Rename it (i.e. explorer2.exe)

Now go to START>RUN and type "regedit". ENTER

Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Find the sub named "shell". Double click on it and rename the explorer.exe to whatever you renamed the copy.

もともとクレームが多いからログの類を吐かないのでどこがどう壊れたか全くわからないというマイクロソフトの方針。しかしまぁど~しよ~もないなWindowsは。

Cygwinの/dev/nullが消える。Cygwinを何度再導入しても/dev/nullを作成できない状態になる。

-bash: /dev/null: No such device or address
-bash: /dev/null: No such device or address
/etc/postinstall/post000-cygwin-post-install.sh.doneで作成されるのだけど、これはCygwinが内部でマネージメントしてるスペシャルファイル。Cygwin環境でmknodで作成できるファイルではない。

マイクロソフト・セキュリティ・エッセンシャル(MSE)を起動するとVirus:DOS/Rovnix.Vが見つかり除去できたように見えるが再起動するとまた検出される。

マイクロソフトはウィンドウズ・ディフェンダー・オフラインをCDやUSBで起動して除去することを提案。しかしディフェンダーオフラインでは除去できないのさ。



除去できたように見えても内部エラー 0x80508023 が発生して除去に失敗する。


どやページが沢山あるけど、そもそも常駐しないし手動では検出も除去もできない。 http://guides.yoosecurity.com/trojandropperwin32rovnix-i-how-to-remove/
DOS/Rovnix.V

ウィルスの解説を発見。
Virus:DOS/Rovnix.V

Threat behavior

DOS/Rovnix.V is a malicious Volume Boot Record (VBR), which is loaded at boot time. It tries to tamper with some Windows kernel data to load its own malicious driver. This might bypass the Driver Signature Enforcement on a 64-bit system.

The malicious driver injects other malware components, for example Trojan:Win32/Claretore.L, into the explorer.exe process.

To hide its presence in your PC, the loaded driver intercepts the hard disk I/O (input/output) operation, and returns the original clean copy if the VBR is accessed.

Symptoms

Alerts from your security software may be the only symptom.

Last update 03 January 2014

VBRに隠れてハードディスクIOをモニターし、正常なコピーを返すので発見不可能。で、explorer.exeにTrojan:Win32/Claretore.Lを注入する。 すげーわな。ドライバのトラフィックをモニターして正常な値を返すなんてStuxnetそのもの。 ハードディスクドライバなのかSCADAコントローラなのかの違いだけだ。

DOS/Rovnix.VはVBR(ボリュームブートレコード)に潜んでブート時にロードされWindowsのカーネルに細工したドライバーをロードさせる。ドライバには署名があるのだけど、なんとドライバが正しい署名を返すので発見不可能。

カーネル内部のドライバコードの領域に潜んでいて外から命令されるとドロッパーで別のウィルスをC&Cサーバからダウンロードして感染させたり遠隔操作されたりする。もはやサイバー兵器のレベル。

このウィルスを駆除することはサイバー兵器(Stuxnet)を迎撃することに他ならない。なので世界のサイバー兵器会社が名を上げようとも見たことのないものすごいワクチンソフトを提供し始めてる。

ここに生還者の情報がw
MSE says it removed WIN64/Rovnix.gen!A but............
ComboFix.exeにトライ。ATTRIB.3EXでファイルシステム全体の属性を変えてるし。
ComboFix.exeでexplorer.exeが空振りする障害はなおった。
( ̄ー ̄)ニヤリ
しかし肝心のRovnixの型が変わって別のRovnixが増えたような。

ComboFix.exeでexplorer.exeが空振りする問題は解決できた。しかし日本語IMEも除去されるので再設定が必要。 これ

この時点でCygwinの/dev/nullが消える問題は解決されない。

カスペルスキーのTDSSKiller登場。 これ

TDSSKillerのログの感染

略
08:06:07.0843 5136  [ 2A5EEDCB22A5D6BB0231E38A38E7A7D9 ] SafeBoot        C:\WINDOWS\system32\drivers\SafeBoot.sys
08:06:07.0843 5136  Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\SafeBoot.sys. md5: 2A5EEDCB22A5D6BB0231E38A38E7A7D9
08:06:07.0843 5136  SafeBoot ( LockedFile.Multi.Generic ) - warning
08:06:07.0843 5136  SafeBoot - detected LockedFile.Multi.Generic (1)
略
08:06:13.0078 5136  ================ Scan VBR ==================================
08:06:13.0093 5136  [ 3FA9F15C6EAA465CCBAFB687D35DB310 ] \Device\Harddisk0\DR0\Partition1
08:06:13.0093 5136  \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - infected
08:06:13.0093 5136  \Device\Harddisk0\DR0\Partition1 - detected Rootkit.Boot.Cidox.b (0)
08:06:13.0125 5136  [ BC97AF767F12BFD9A5C227BD8C96DC9A ] \Device\Harddisk0\DR0\Partition2
08:06:13.0140 5136  \Device\Harddisk0\DR0\Partition2 - ok
08:06:13.0140 5136  ============================================================
08:06:13.0140 5136  Scan finished
08:06:13.0140 5136  ============================================================
08:06:13.0156 4812  Detected object count: 2
08:06:13.0156 4812  Actual detected object count: 2
08:06:39.0500 4812  C:\WINDOWS\system32\drivers\SafeBoot.sys - copied to quarantine
08:06:39.0609 4812  HKLM\SYSTEM\ControlSet001\services\SafeBoot - will be deleted on reboot
08:06:39.0609 4812  HKLM\SYSTEM\ControlSet002\services\SafeBoot - will be deleted on reboot
08:06:39.0609 4812  HKLM\SYSTEM\ControlSet003\services\SafeBoot - will be deleted on reboot
08:06:39.0625 4812  C:\WINDOWS\system32\drivers\SafeBoot.sys - will be deleted on reboot
08:06:39.0625 4812  SafeBoot ( LockedFile.Multi.Generic ) - User select action: Delete
08:06:39.0718 4812  \Device\Harddisk0\DR0\Partition1 - copied to quarantine
08:06:39.0890 4812  \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
08:06:39.0890 4812  \Device\Harddisk0\DR0\Partition1 - ok
08:06:39.0890 4812  \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
08:06:49.0750 1924  Deinitialize success

たぶんなおらなかったらFedora20を導入すると思うwww Win7+Windows Loaderとゆー手もあるがやっぱFedora20+VirtualBox+WinXPの環境にすると思う。

このStuxnetのようなウィルス(DOS/Rovnix.V)にWinXPが感染して、いろいろ調べてるうちに楽しくなってきてしまうのが問題。

マイクロソフトは昨日の夕方セキュリティエッセンシャルがDOS/Rovnix.Vを検出するとディフェンダーオフラインを実行するように対応開始。しかしまだディフェンダーでは駆除できない。 explorer.exeのウィルス感染はCombofix.exeで駆除できた。

WinXPのセキュリティエッセンシャルの履歴。どうだ?わいるどだろ。

カスペルスキーのTDSSKillerを実行後に検出したルートキットの除去の為にリブートするとブルースクリーン発生。( ゚д゚ ) とりあえず「前回正常起動時の構成(正しく動作した最新の設定)」で起動でけた。

オォォーーー。どうやらカスペルスキーのTDSSKillerで除去できたみたいだ。やるなー。

結局Cygwin導入時に/dev/nullを作成できないエラーの原因はDOS/Rovnix.V が原因だった。カスペルスキーのTDSSKillerで除去した後は何の問題もなく導入に成功。

カスペルスキーで除去した後にディフェンダーオフラインで消えたのをチェック。

DOS/Rovnix.VはVBRに隠れたウィルスがドライバーを改ざんして誤動作を起こしていた。そういえば日本語キーボードドライバって署名すらないんだよな。つまり無防備。そしてDOS/Rovnix.Vのテクニックを使えば検出できない。

どういう訳なのか知らないが、客「ご指名」のウィルスバスターコーポレートエディションでは何も見つからないだろう。こんなウィルスはカスペルスキーの特殊ソフト(TDSSKiller)でしか駆除できないのだ。

たぶんファイルシステム全体にウィルススキャンをかけると山のようにでてくるに違いない。もしウィルスが予算や選挙結果の改ざんなどに使われていたとすればエロいおっさんのクビが何個か飛んでしまうのは間違いない。だからこのStuxnet型ウィルスの話はしないことだ。

脆弱な環境は意図的。メールに添付されたZIPファイルのWin32/Kuluoz.DがPCを勝手にリブートしてDOS/Rovnix.Vに感染させるしかけだと思う。ダウンロードさせるドロッパー機能、Explorer.exeにいたずらするウィルス、ウィルス対策ソフトに見つからないようにドライバーに隠れる機能。完全に分担され連携してる。こんなのはぬこ兄ちゃんのような個人には開発できない。もっと言えばこの手の感染インフラが見つからないように意図的にウィルスバスターコーポレートエディションにして脆弱な環境にしてるのだと思う。

やはりムラはFinSpyやStuxnetのようなサイバー兵器を購入してるのだ。職員をモニターしたり、冤罪を起こしたり、そんな用途に使ってるのだろう。何しろカルトなので猜疑心全開で何も信用できない奴らなのだ。

ウイルスメール、退職者のアドレスを使用 韓国原発会社ハッキング

2014.12.26 11:34
韓国の全原発の運営会社「韓国水力原子力(韓水原)」のシステムがハッキングされ、内部資料が流出した事件で、ハッカーが職員に送りつけたの多くが、韓水原OBのアドレスを使って送られていたことが26日分かった。韓国各紙が報じた。

 一方、「原発反対グループ」を名乗るハッカーは25日から一部の原発を停止するよう要求していたが、26日午前段階で異常は伝えられていない。

 報道によると、韓水原職員らに今月9日、OBのアドレスから「福島(原発)対策報告書」などの内部資料を添付したメールが送られた。件名も業務用メールを装い、開いた職員のコンピューターがウイルスに感染したとみられる。(共同)

同じ事やられてる。

韓国サイバー攻撃、「反原発会長」名乗るハッカー「訓練完璧ですね」とあざ笑い


韓国慶州の発電所で実施されたサイバー攻撃対策訓練に参加した韓国水力原子力の社員ら=(同社提供・ゲッティ=共同)
2014.12.23 21:12
韓国では今月、原発運営会社の韓国水力原子力(韓水原)のシステムがハッキングを受け、原発の図面を含む内部資料多数が抜き取られた。ハッカーは「原発反対グループ会長」を名乗り、ネット上で資料を小出しに公開しながら原発の稼働停止などを要求している。

 23日には「韓水原のサイバー攻撃防御訓練は完璧ですね」などと同社をあざ笑う文言とともに5回目の資料公開を行った。

 同日の閣議で朴槿恵大統領は「深刻な事件だ。徹底した調査で背後の勢力まで必ず明らかにしなければならない」と捜査機関に指示したが、当局は流出経路も被害の規模もつかめていないもようだ。ハッカーが開設したツイッターのアカウントが米国で登録されたとして、米当局に捜査協力を依頼したと伝えられる。(共同)

「ハッカーが開設したツイッターのアカウントが米国で登録された」w

Windows7ですなー。
CSISが犯罪予告みたいなことも言ったらすい。
「原発反対グループ会長」を名乗ってるw
何か犯人がバレバレですな。


あ、このアーキテクチャ、身に覚えが、これそのものじゃまいかw

投稿されたコメント:

コメント
コメントは無効になっています。