続・JSRedir-R
GENO ウイルスの調査に関しての一連の経緯。
事の発端は、SARAYA さんの日記。
うちも念のため調査する事にして、最初は Win2k 環境の AQUA から。
調査した手順はこんな感じ。
(1) ファイル名を指定して実行で cmd と入力するとコマンドプロンプトが立ち上がるのは問題ない。
(2) ファイル名を指定して実行で Regedit と入力するとレジストリエディタというのも問題ない。
(3) sqlsodbc.chm を探すとなぜか発見されて容量がおかしい。
(3) が問題だ・・・sqlsodbc.chm というのは通常なら Win2k に存在しません。
あっても XP と同じなら安心という話だがサイズが違う。
ElleFileInfo を使って CRC32・MD5・SHA1を確認するが合致するハズがない。(^^;
sqlsodbc.chm が正常ならば、ファイルサイズは50,727バイト。
CRC32 : B61C7A80
MD5 : F639AFDE02547603A3D3930EE4BF8C12
SHA-1 : FBDD32ED13D27E4102621E1067FDF3634F33B2C3
という値が表示される。
ちなみに、slqsodbc.hlp は正常なら 17,148バイト。
MD5 : 3177C8154F1011535FDD1B1B30D3D2E9
という事だが、こちらに関しては問題ない。
ファイルサイズが違うというのは確かだが、作成と更新が2007年になっているので時期的に違うか。
だが、そもそも sqlsodbc.chm があるというのも謎だ。
で、レジストリを見てみる事にする。
aux 辺りに記載される事が多いようだ。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
ここを調べてみる。
RegGlass を使って aux をキーワードで検索。
.drv や .dll が登録されているのが一般的なので、違うのがあればヤヴァイです。
これは問題ないっぽいねぇ。
結論。
sqlsodbc.chm のサイズがアレなファイルがある。
感染は不明だが、念のために再インストールするのが賢明と判断しました。
で、AQUA が使えないとなると他のマシンを使わなければならない。
まぁ、Rielor がほとんどの環境を受け継いでいるので移行は簡単である。
そもそも AQUA の後継機という狙いもありますので。(^^;
で、Rielor を使ってサイトコンテンツのチェック。
感染していると、FTP を使った時点でアレらしいのです。
サイトのコンテンツをローカルにダウンロード。
ウイルスチェックをしてみるが問題はない。
これで OK というのではなくコードを探っておく。
秀丸エディタでディレクトリを指定して grep を実行。
サブフォルダを含めた全ファイルを指定して大文字小文字は区別しない。
キーワードは、unescape・eval・base64です。
結果が出て来たら replace をキーワード検索する。
ここでぁゃιぃスクリプトがあればヤヴァイ。
結果は問題ありませんでしたので無問題と判断致しました。
