fc2ブログ

ウィルス revo.exe 注入実験

ウィルス注入してrevoウィルスの動き方とセキュリティーソフトを導入したときの動きを実験してみた。

どんなウィルスかは過去ブログ参照してくれればいいかな。

このウィルス最近流行っているみたいで、最新のセキュリティーソフトがきちんと動いてくれるか

vmwareで動いているWindowsXPで検証。

最強といわれているnod32っていうセキュリティソフトはばっちり防御してくれました。

検知精度はすごく敏感でウィルスをハードディスクにコピーするのも難しいなw

一方Avgの方はクリックしてからの反応となりますね。

ウィルスのコピーはできそう。

精度からみて動作プロセスはnod32のほうが大変なので若干重くなるのは仕方ないでしょう。

Kasperskyなどはnod32より精度いいみたいですね。

動作は重いでしょうけど。精度がいいということはそのぶんCPUとメモリが動いているってことでしょうからね。

ネットカフェとかではnod32が採用されてますね。それだけ評価が高いソフトだということですかな。



よいこは真似しないように。どうなっても責任はもてませんので^^;

ZETA

BeOSっていうオペレーティングシステムの後継であるZETA

ゼータガンダムかいw

ちょっと興味があったので。

VMWARE上にてZETAliveCDを動かしてみた。

imgファイルが二つありますので

liveCD用のVMXファイルでIDE Storageの欄を以下のように手直し。

###############
# IDE Storage
###############

ide0:0.present = "FALSE"

ide0:1.present = "FALSE"

ide1:0.present = "TRUE"
ide1:0.fileName = "zetaboot.img"
ide1:0.deviceType = "cdrom-image"
ide1:0.startConnected = "TRUE"
ide1:0.autodetect = "TRUE"

ide1:1.present = "TRUE"
ide1:1.fileName = "zetacd.img"
ide1:1.deviceType = "cdrom-image"
ide1:1.startConnected = "TRUE"
ide1:1.autodetect = "TRUE"

ディスクマウントしなくっても起動できました^^

zeta_convert_20081112121117.png

動作は結構軽いですね。

キビキビ動きます。

デフォルトでドイツ語になっていますので注意w

zeta2_convert_20081112121145.png


ウィルス revo.exe

自分の仕事はコンピュータ関係専門ってわけじゃないですが。

コンピュータ系の仕事もしています。

あるユーザーさんのWindowsPCにてウィルスがはいったとのことでそれを直しにいきました。

そのウィルスは色々と亜種があるわけですが、今回のはrevoっていう実行ファイルがUSBのautorun.infと連携して動くタイプであった。

そこでは少なくとも4台のPCが感染していました。

やっかいなことに感染直後に自分自身がまず不可視属性になりUSBの中身を見てもファイルは見えないです。

でもって感染中はすべてのファイルを表示するにチェックをいれてもそれが反映されません。

attribコマンドつかってSHR属性のファイルがあるかどうかはチェックできましたけどね。

セーフモードにてWindows立ち上げてレジストリエディタで不可視属性解除してファイルを消して次から立ち上がらないようにすれば消せますが、感染中のUSBメモリをすべて修復しないときりがない…

Windowsの場合はUSB挿すときにshiftキー押しながらUSBメモリを挿せばautorun.infが立ち上がらないのでそのあと不可視属性のファイルを消せば直るけどshift押し損ねたら感染しますw

そんな原始的なことやってられないので、linuxにてUSBメモリーのチェックしていきました。

以下の画像で確認しました…

ウィルスまるみえです。

windowsosはautorun廃止せんとやばくねえか…

Screenshot_convert_20081106195240.png


預かってきたUSBメモリ達です。6つほどウィルス感染してました。
P1010015_convert_20081106200313.jpg