日記という名の不定記

Yahoo! コミックには無料で読めるモノがある。


たまに読んでいるのだが・・・こんなのが出る。



ウイルスキラーのアクティブディフェンスである。


TSSERVICE.EXE をブロックしているのだろう。

拒否すると数回ダイアログが表示される。

まぁ、結果的に閲覧は可能になるのだが・・・正体が気になる。


軽く調べてみると、Teruten の WebShell のようだ。

Web ページ中のテキストや画像等のコピーを防止するツールらしい。

コミックの内容をコピーさせない為ですかね？

インストールして良いのだろうか？


拒否したままでも問題ありませんけど。(ぉ

掲示板に spam 投稿があった。


対策をしてから久しぶりである。

(1) トップページからしか入れない。

(2) 1バイト文字だけの本文内容はエラーになる。

(3) URL 記載時は先頭の "h" を抜いて投稿しないとエラーになる。

こういった対策がしてある。


これだけの条件の中で投稿出来るのか？

それも、URL まで記載している。

と思ったら、www. とかさえ記載していない。

これなら可能ではあるね。

それ以上の対策は私のスキルでは出来んわ。


でだ、うちの掲示板に投稿するとsendmail で送られてくるのだが・・・

その中の HTTP-User-Agent という項目。

SO210i DoCoMo/1.0/SO210i/c10 って携帯電話からですか？

だとしたら・・・かなり古い機種という事になりますなぁ。


この辺りの偽装とか出来るんですかね？

6月29日（月曜日）PM11:50〜AM1:00に越後鯖の緊急メンテナンスが行われます。


それにより、ページ閲覧とメールの受信が出来ません。

ちなみに、何が緊急なのかは不明です。(^^;

日記に関しては鯖が違いますので問題ありません。


まぁ、最近は日記メインですし、ほとんど影響はないと思いますが。(ぉ

GENO ウイルスの調査に関しての一連の経緯。


事の発端は、SARAYA さんの日記。

うちも念のため調査する事にして、最初は Win2k 環境の AQUA から。

調査した手順はこんな感じ。


(1) ファイル名を指定して実行で cmd と入力するとコマンドプロンプトが立ち上がるのは問題ない。

(2) ファイル名を指定して実行で Regedit と入力するとレジストリエディタというのも問題ない。

(3) sqlsodbc.chm を探すとなぜか発見されて容量がおかしい。


(3) が問題だ・・・sqlsodbc.chm というのは通常なら Win2k に存在しません。

# slqsodbc.hlp ならあります。

あっても XP と同じなら安心という話だがサイズが違う。

ElleFileInfo を使って CRC32・MD5・SHA1を確認するが合致するハズがない。(^^;


sqlsodbc.chm が正常ならば、ファイルサイズは50,727バイト。

CRC32 : B61C7A80

MD5 : F639AFDE02547603A3D3930EE4BF8C12

SHA-1 : FBDD32ED13D27E4102621E1067FDF3634F33B2C3

という値が表示される。


ちなみに、slqsodbc.hlp は正常なら 17,148バイト。

MD5 : 3177C8154F1011535FDD1B1B30D3D2E9

という事だが、こちらに関しては問題ない。


ファイルサイズが違うというのは確かだが、作成と更新が2007年になっているので時期的に違うか。

だが、そもそも sqlsodbc.chm があるというのも謎だ。

で、レジストリを見てみる事にする。


aux 辺りに記載される事が多いようだ。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\

ここを調べてみる。

RegGlass を使って aux をキーワードで検索。

.drv や .dll が登録されているのが一般的なので、違うのがあればヤヴァイです。

これは問題ないっぽいねぇ。


結論。

sqlsodbc.chm のサイズがアレなファイルがある。

感染は不明だが、念のために再インストールするのが賢明と判断しました。


で、AQUA が使えないとなると他のマシンを使わなければならない。

まぁ、Rielor がほとんどの環境を受け継いでいるので移行は簡単である。

そもそも AQUA の後継機という狙いもありますので。(^^;

# Melcess と Rielor に問題がないのはチェック済みです。


で、Rielor を使ってサイトコンテンツのチェック。

感染していると、FTP を使った時点でアレらしいのです。

サイトのコンテンツをローカルにダウンロード。

ウイルスチェックをしてみるが問題はない。

これで OK というのではなくコードを探っておく。


秀丸エディタでディレクトリを指定して grep を実行。

サブフォルダを含めた全ファイルを指定して大文字小文字は区別しない。

キーワードは、unescape・eval・base64です。

結果が出て来たら replace をキーワード検索する。

ここでぁゃιぃスクリプトがあればヤヴァイ。


結果は問題ありませんでしたので無問題と判断致しました。

世間を騒がせている GENO ウイルスの調査。


AQUA に、なぜか sqlsodbc.chm がありまして容量がおかしい。（汗）

変な症状も出ていないし、ファイルの作成と更新が2007年なので大丈夫かとは思いますが・・・

念のために環境を再構築しようかと思っています。

現在は、Rielor にて作業中です。


感染すると、サイトを公開している場合はマズイとの事でチェック。

本社サイトの方は問題ないようです。

リヴァ鯖の方は日記以外は最近更新していないので問題ないと思いますが・・・

日記に関しても一通り確認しておこうと思います。

安全が確認されたら連絡致します。


詳細は後ほど。

---

リヴァ鯖の方もサイトの安全が確認されました。


私の管理しているサイトは問題ないと思われます。

For Meltice-Family Users は最近更新していないので問題ないでしょう。(ぉ

大丈夫だろうと思っていましたが焦りましたわ。


経緯に関しては明日の日記にでも。(ぉ