読者です 読者をやめる 読者になる 読者になる

元派遣プログラマの自称技術系ブログです。雑記とか自作のオープンソースプロジェクトの話とか。
Javaとか組込とかできます。お仕事ください。

ビットコインの調査をしてたらいつの間にかウイルスに感染してた

ビットコイン

さて、より効率の高いビットコイン採掘方法を探してネットを徘徊していたところ、

見事にバックドアを仕掛けられました。

f:id:nyatla:20131215120244p:plain


ググってみたけどほぼ情報がないので、多分新種だと思います。


ウイルス情報

f:id:nyatla:20131215140451p:plain


ウイルスはmsconfig.jar。たぶんキーロガーです。
ウインドウタイトルとそこに入力した文字列を外部サーバに送信するようになってました。(多分)
今話題のリモートマイニングではなく、アカウントハックの為のものだと思われます。

感染するとjarファイルがシステムディレクトリにコピーされ、レジストリにWindowsサービスのプログラムが登録されて起動時に勝手にJava7でjarファイルが実行されるようになります。

まだ新しいウイルス?のためか、Microsoft Windowsの標準スキャンソフトWindowsDefenderでは検出できません。

また、Javaに偽装して実行されるためか、AVIRAのアクティブプロセススキャンでは検出できませんでした。

ウイルスタイプ バックドアキーロガー(多分)
ウイルス本体の場所 C:\Users\[ユーザ名]\AppData\Roaming\msconfig.jar
追加されるレジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[なんとか]に、javaの実行コマンドが登録される。
検出可能なアンチウイルスソフト f:id:nyatla:20131215141234p:plain
Antivirus scan for e925e4e11c2b6fdf973cd198767f0dea at 2013-12-13 00:07:31 UTC - VirusTotal

ウイルスの検出方法

検出ソフトで探す

世界最高レベルのセキュリティをあなたに | Avira(アビラ)公式サイトの無料版で検出できます。結構時間がかかります。Windows 8.1の場合は英語版じゃないと動かないので注意してください。

ウイルス本体を探す

Windowsのシステム全体にmsconfig.jarがないか検索してください。あったらたぶんアウトです。

レジストリを探す

レジストリエディタで、レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに見知らぬjarを実行するものがないか探してください。

タスクマネージャ

タスクマネージャの詳細から、怪しげなJava.exeが居ないか探してください。
見知らぬJavaプロセスがなければ、たぶん大丈夫です。

f:id:nyatla:20131215135641p:plain

実行中のjarファイル名まで割り出す場合は、Process Exprolerを使うと便利です。
Process Explorer

私はこの方法で見つけました。


netstatで探す

netstat -naで、TCP 7794番ポートをLISTENINGしているサービスがないか探してください。何もパラメータを指定しないでバックドアを実行すると、このポートが開いてます。


駆除方法

ウイルス本体msconfig.jarを削除し、レジストリから実行コマンドを削除します。Windowsを再起動してもこれらのファイルやレジストリ値が復帰していなければ駆除できています。

駆除したmsconfig.jarは絶対にダブルクリックしてはいけません。復活します。


感染ルート

複数の感染ルートが考えられます。

  1. マイナーコインのウォレットをインストールした時に感染
  2. オンライン採掘サービス(Java)をテストした時に感染
  3. Webページを見ていた時に感染

でもおそらく2番目です。ブラウザの警告無視していろいろ試したあとだったので…。

とりあえず、Javaアプレットかなんかで採掘できるサイトは使わないほうが無難です。
ブラウザが警告だしたら迷わず拒否してください。


まとめ

今回のウイルス騒動で分かったことのまとめです。

  1. Microsoft DefenderはJava偽装タイプのバックドア検出できない。
  2. Java偽装タイプはアクティブプロセススキャンでも見つからない場合が多い。
  3. 面倒でもオンラインマイニングソフトは使わないほうがいい。 cgminerかcpuminerのほうが安全。
  4. 特にJavaアプレットは危険。
  5. 見知らぬ情報サイトに潜る時はせめてAVIRAの無料版を入れてから。


また、新しいウォレットソフトを実行する場合は、VirusTotal - Free Online Virus, Malware and URL Scannerなどで念のためチェックをしてください。

ヤバいバックドア等はチェックできます。

【体験版】Avira Internet Security 2013 [ダウンロード]

【体験版】Avira Internet Security 2013 [ダウンロード]

Avira Internet Security 2013 3年版 1PC  [ダウンロード]

Avira Internet Security 2013 3年版 1PC [ダウンロード]

ノロキラーS (瞬間消臭・強力除菌) 400mL

ノロキラーS (瞬間消臭・強力除菌) 400mL