RECOMMEND
目に見える議論
目に見える議論 (JUGEMレビュー »)
桑畑 幸博
これはスゴ本!議論においての「何が論点か」が的確なるので議論の終着点までブレなく到達できる!
SELECTED ENTRIES
RECENT COMMENTS
RECENT TRACKBACK
CATEGORIES
ARCHIVES
MOBILE
qrcode
LINKS
PROFILE
OTHERS

09
--
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
--
>>
<<
--

sugarstyle blog

<< narrow band | main | 新ブログ! >>
キーロガーにやられてた!!
■キーロガー、食らってた
先日。。ノートPCにNorton Internet Securityをインストールして再起動すると、ノートン先生から警告が。

「ftp.exeがインターネットに接続しようとしています(確かこんな文章)」

は?


ftp.exeってsystem32ディレクトリに入ってるやつで、windowsのデフォルトのftpツールでメモ帳みたいなもんでしょ?なんでこれがスタートアップで起動してんの?しかも接続しに行ってる?

怪しい。

てなわけで、ぐぐってみた。…ビンゴ!

http://winfaq.cool.ne.jp/logs/2k/0809.html(リンク先消失)
(リンク先消失のためweb archiveのリンクをどうぞ。文字化けしてたら、ブラウザのエンコードをシフトJISにすると読めるはず)

リンク先の掲示板の [385061] の書き込みと全く同じ症状じゃん。要約すると、
・キーストロークのログが C:/windows/sample011.zip に保存される
・バックグラウンドでMS-DOSプロンプトが起動する
・ftpにより、ログファイル sample011.zip が ftp.angelfire.com に送られる


…ビンゴどころかアウトどころか大アウトというか!!!アレですよ、横断歩道を歩いてたら車に直撃したくらいの衝撃で再起不能と書いてリタイヤと読んでしまいますよ!!あ、取り乱して失礼。

コレってこれまで入力したことのある 文章、検索ワード、URL、メールアドレス、パスワード、アカウントID、キャッシュカードの口座番号、暗証番号、その他もろもろが ftp.angelfire.com に送信されていた、ってことに…

いや、もう血の気引きまくりましたよ。マジで。とりあえずそのPCはOSからクリーンインストールしましたが。まぁ、このPCでネットで口座を参照したり決済したり、といったお金を使ったことがなかったのと、実被害が出ていない(はず)のが不幸中の幸いか…。



■キーロガーの実体を探す
なんでだろう?これまでもNorton Internet Securityの2003をインストールしていて、ファイアウォールON、当然Norton AntiVirusのリアルタイム保護もONにしていたのに…

とりあえず、Cドライブをウイルススキャンしてみる。

……(5時間後)…… 何も見つからねぇーー!!!

Why?なぜ?現に windowsディレクトリにある sample011.zip がリアルタイムで更新されてるよっ!

仕方ない、ここはフリーのスパイウェア検出ツールを使おう。(「スパイウェア」意味はこちら)ってことで
Spybot 説明サイトはこちら
AD-Aware 説明サイトはこちら
をインストールして検出してみた。

…(数時間後)… やっぱり何も見つからんとです。

あー、どうしよう。一体どいつがキーストロークをログってるんだ。うーん。キーロガーを検出するには…ここはいっちょ 「キーロガー 検出方法」 とかでぐぐってみるか。

…おっ。ビンゴ!こいつだっ。
KL-Detector
早速インストールし、使ってみた。

ハイ、大当たり〜。。

…認めたくはなかったんだけど、sugarballはキャリアだったんだね orz。

どうやら sample011.zip の他に tmp.edb にログが書き込まれている様子。ノートン先生でも検出・駆除できないので、OSを再インストールして…あぁ、貴重な休日が再インストール作業で無くなっていく…



■どこで感染したか
仕事で使っていたPCなので、あやしいツールやソフトはインストールしていないはず…まぁフリーソフトは結構インストールしていたのですが。。それにファイル共有ソフトの類もインストールしていないし…

あ。心当たりが。。ログファイルの送信先 ftp.angelfire.com なんですが、angelfireってドメインは昔(今も?)は無料のHPスペースを提供していたんですよ。で、angelfireで(HPスペースの)アカウントを取得することを「天使炎で垢をとる」なんて一部の人間が言ってた気がします。

そのことを思い出したsugarballは「今はどーなってんだろ」と思い、 http://www.angelfire.com/ にアクセスした記憶が…確かそのときは広告が開きまくったのですぐブラウザを閉じたような。。ってまさかソレ!?100%確定じゃないけど、検証するにも個人的にはangelfireドメインのサイトには2度と近づきたくないわけで。。



■所感
いや、もうセキュリティは注意しましょうとしか言いようが無いんですけど、という以前にどうやったら身を守れるんでしょ。sugarballのPCはノートン先生をインストールしていてファイアウォールもONでウイルス定義も最新だし、定期的にウイルススキャンも行っています。にも関わらず感染してしまうということは、結局怪しいサイトには近づかないくらいしか自衛手段が無いかもしれませんね。それと、怪しい兆候があればとことん調べること。こちらは感染後の対応手段ですが、今回ftp.exeが勝手に起動していた現象を調べて行き着いたように、普段は考えられないような現象が起こったときに原因を探してみることですね。あと、今回ノートン先生が役に立たなかったように、アンチウイルスソフトやスパイウェア検出ツールを過信しないことです。


てなわけで、セキュリティには気をつけましょう。口座番号や暗証番号が抜き取られて悲惨な目に合わないように。。



あー、そういえば。。一般的に言われている、「定期的にパスワードを変更する」って、キーロガー仕掛けられていたらむしろ逆効果じゃん。新パスワードが速攻でバレるし。。
| 日記 | 22:11 | comments(4) | trackbacks(0) | - | - |
すごいですね〜自力検出しちゃいましたね
キーロガーが検出されにくいとの噂を耳にして、ここへ流れてきました。
わたしはさっぱりわかりせんよ。感染してないことを祈るばかり。
銀行の対策では、ログイン画面にソフトウェアキーボードを設置して、マウスで数値なのを入力するようになるらしいですよね。キーロガーができたんだから、そのうちマウスロガーなんかもできたりして。怖いですね。

こんなニュースも見つけました。企業も怖いっす。
「セキュリティ対策企業は警察のスパイウェアを検出すべきか?」http://it.nikkei.co.jp/security/news/index.aspx?n=RS2035301119072007
こんな方も見つけました。この人も自力検出していらっしゃる
「キーロガーに深刻に悩まされてます!助けて下さい!」教えて!gooHP「運営時につけたアクセス解析から、自分と同時刻にログインしている者に気づき、調べてみたところスパイウェアでした。、、、、」http://oshiete1.goo.ne.jp/qa2652281.html


| vivitto | 2009/03/28 10:54 PM |

>vivittoさん
確かにソフトウェアキーボードもマウスロガー的なソフトがあればやばいですよね。いたちごっこになるのは宿命かもです。

ワンタイムパスワードなんかは安全性が高いと聞きますが、導入にコストがかかりそう&覚えるのが面倒なので微妙です。

しかし、有償のアンチウイルスソフトで検出されないってのは困り者です…

| sugarball | 2009/03/30 1:03 AM |

もっと素人にもわかりやすい検出方法はないのでしょうか?
検出方法の手順を細かく図表にしてほしいです。

迷惑メールに悩まされています。
| たけちゃん | 2011/01/04 8:50 AM |

はじめまして。

いろいろ勉強になりありがとうございます。

でも、政府と専門家達の犯罪には何をやってもかなわない、、、

http://blogs.yahoo.co.jp/ansund59/folder/1034265.html

をご参考にして下さい。

ご助言頂ければ助かります。
| 安淳徳 | 2012/10/18 10:29 AM |










http://blog.sugarstyle.net/trackback/47218