カスペルスキーのスキャン結果を解析する

午後6時起床,曇り.朝食は自家製蒸しパン2片.あれほど嵐のように入ってきていたメルマガやダイレクトメールが今日は一通も入っていない.毎朝20件近く入っていた画面右下隅の「通知」もカスペルスキーからの「無料通信量オーバー」1件だ.無料通信量とは何だ?おそらくこれはカスペルスキーが使っているVPNの通信量のことだろう.⇒※あは,メールが一通も入っていなかったのは「今日が日曜日だから」ではなく,パソコンの電源を落として寝たためだ.

image

VPN(仮想プライベートネットワーク)というのは遠隔地との通信を仮想的に「社内の内部通信」のように見せかけるための仕掛けだ.これはたとえてみればパレスチナ占領地からイスラエルの国境監視線を超えてエジプトに抜ける地下トンネルのようなもの.VPNを使えば高度にセキュアな通信チャンネルを確保することができる.VPNは通常有料だが,無料というのもある.しかし,一番危険なのはむしろこの無料VPNだ.

カスペルスキーにこのようなVPNの使用を許諾したつもりはないが,多分どこかのタイミングで「VPNに接続します Yes/No」のボタンを押してしまったのだろう.いや,この設定を変えることはできない,つまりVPNを使うというのは「カスペルスキーの仕様」であるように思われる.というのは,「ネットワーク設定」の「ネットワークにかかる費用の対策」という項目では「従量制接続時に本製品によるデータ通信量を抑制する」というチェックボタンしかないからだ.

従量制接続=VPN接続は既定であり,「データ通信量を抑制するかしないか」,つまり,「無料VPNを制限付きで使用するか有料で無制限に使うか」の二択しかない.カスペルスキーは十分高価な製品なのでこれ以上の出費は不可能だから,当方としては選択の余地はないのだが…

しかし,パソコンを立ち上げたとき無線LAN接続が遮断されているというのはせこいね!これはカスペルスキーが意図的にやっていると思われるが,うっかりするともうネットに接続できないと思ってあわてて「有料サービス」を申し込む人もいるに違いない.これはほとんどガスプロムのやり口と同じだ.あわてず単純に再接続すればつながる.

いや,上のパネルを見ると「マイカスペルスキーにログインするだけで無料通信量が増加できる」と書いてある.一種のポイントサービスのようなものだ.カスペルスキーのサイトにはセキュリティ関係のおもしろい記事がどっさりあるのでたまに覗くのも悪くない.

ブログの画像の状態が悪くなっている.昨日ダブっていた画像を削除して一つだけにするという作業をやっている.寝る直前だったので寝ぼけていた可能性はあるが,ハックされている可能性もある.特に上のマイカスペルスキーの画像が前日の「amory氏からワインが届いた」のところに入っているというのはかなりおかしい.仮に昨日の画像削除の結果だとしても「WordPressのバグ」と言うしかないような現象だ.

image13

画像を調整した.メディアライブラリの中身はまだ少しダブっているが,しばらく放置することにする.フォントはデフォルトのメイリオ9.6に目が慣れてきたので調整しないで使うことにしよう.これで一つストレスの種が解消した.やはり,ものごとはあきらめが肝心だ.

画像のサイズを変更して投稿するとメディライブラリの画像が増殖するというのはある意味やむを得ないだろう.画像をいじっていなければページを更新しても画像は増えていないように思われる.画像を縮小したので大きい画像をすべて削除してみたら,また画像が消えてしまった.やはりオリジナルサイズの画像は残しておく必要があるらしい.だとしたら縮小画像は不用と思われるのだが…

いや,失敗した.小さく見えていたのは上の記事の中に埋め込まれた画像だ.オリジナルを捨ててしまった.画像はスクリーンショットで保存していないからオリジナルはどこにもない.いや,大丈夫.いま編集中の原稿を投稿すればよい.いや,やはりダメだ.上の調整作業でメディアライブラリに保存されたものを参照するようにしている.⇒何とか戻せた.メディアライブラリには同じ画像が2つ入っているが,多分オリジナルと縮小画像なのだろう,ということにしておく.

メーラーは Windows 10のメールアプリと新たにインストールした Windows Live Mail をしばらく併用することにした.WLW には何万本という古いメールのストックをフォルダごと引き継ぐことができた.メールアプリで送受信するのは outlook.jp, gmail.com, yahoo.co.jp の3つのアカウントだけだ.メルマガなどはすべてこれらのウェブメールアカウントで購読しているので分かり易い切り分けになった.

いや,すべてという訳ではない.ソースネクストのダイレクトメールが毎日入ってくるが,これらは WLW で受けている.こういうのはメールアプリに移した方がよさそうだ.ソースネクスト,ドスパラなどのネット通販だ.ただし,そうするためにはユーザ設定(受信メールアカウント)をサイトにログインしていちいち変えなくてはならない…

もう一つ気になることがある.昨日古いメールを整理していて2011年頃のフォルダに「ウィルス検出通知/VIRUS DETECTION」というタイトルのメールを発見した.差出人は scan@lolipop.jp となっている.これは本物のアカウントだろうか?メールの本体が消失しているので内容は分からないが,このメール自体がウィルスの媒体だった可能性がある.日付は2011/09/15だ.作業ログが読めれば状況を確認できるのだが…

いや,メールは残っている.「保存フォルダ」内のメールがほとんど読めないのは何かやり損なったためだろう.これは確かにロリポップ!のメールサーバー(の監視システム)から自動送信されたものだ.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウィルス検出通知/VIRUS DETECTION(SMTP,Email-Worm:W32/Mydoom.gen!A)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■受信メールのウィルスチェック時に、コンピュータウィルスが検出された為削除致しました。メールの送信者のコンピュータがウィルスに感染している可能性があります。また、送信元のメールアドレスを偽装して送信している場合があります。
▼検出されたメールの情報
———————————————————————-
●感染ファイル名(ウィルス名)
Email-Worm:W32/Mydoom.gen!A
●このウィルスの詳細
http://cgi.f-secure.com/cgi-bin/search.cgi?ul=v-descs&q=Email-Worm%3aW32/Mydoom.gen%21A
▼ウィルスが検出されたメールのヘッダー情報
———————————————————————-
Received: from smtp-mx04.phy.lolipop.lan (HELO smtp-mx04.phy.lolipop.jp) (172.17.0.143)
by smtp-mx04.phy.lolipop.jp (qpsmtpd/0.82) with ESMTP; Fri, 16 Sep 2011 13:44:18 +0900
Received: from 58.214.18.248 (58.214.18.248)
by smtp-mx04.phy.lolipop.jp (LOLIPOP-Fsecure);
Fri, 16 Sep 2011 13:44:14 +0900 (JST)
X-Spam-Status: Yes(LOLIPOP-Fsecure) with VIRUSGW/SPAM_RBL/58.214.18.248[sbl-xbl.spamhaus.org:127.0.0.4]
From: “Automatic Email Delivery Software” <
noreply@zelkova-tree.net>
To:
babalabo@zelkova-tree.net
Subject: Wgbammfopikgqpqx
Date: Fri, 16 Sep 2011 12:44:14 +0800
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0006_EDB68273.C3CDBEE2″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <
20110916044418.0D97290DEC6@smtp-mx04.phy.lolipop.jp>
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
Content-Type: application/octet-stream;
name=”hzxl.zip”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”hzxl.zip”
▼ウィルスが検出されたメールの本文
———————————————————————-
This message was not delivered due to the following reason(s):
Your message could not be delivered because the destination computer was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within 2 days:
Host 25.44.42.244 is not responding.
The following recipients did not receive this message:
<
babalabo@zelkova-tree.net>
Please reply to
postmaster@zelkova-tree.net
if you feel this message to be in error.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◇このメールは自動通知メールです。通知が来た場合弊社への連絡は不要です。また、このメールからの返信を行われても回答は出来ません。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ナウでヤングなレンタルサーバー!ロリポップ!
http://lolipop.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Powered by F-Secure Anti-Virus Gateway for Linux
Copyright (C) 2010 paperboy&co. All Rights Reserved.

このメールは noreply@zelkova-tree.net から babalabo@zelkova-tree.net に送信されている.noreply はサイトからの自動応答のためのアカウントだ.ユーザ会サイトでは会員の参加申し込みのときには自動応答しているが,noreplyは使っていなかったような気がするのだが…

どうなっていたのかは調べてみなければ分からないが,このメールにウィルスが含まれていたとしたら丸ごと偽装されたものと考えてよいのではないか?そもそも,postmaster@zelkova-tree.net などというアカウントは存在しないし,英文メッセージを自動送信するなどということはあり得ない.カスペルスキーのスキャンの結果を解析してみよう.

ゼルコバの木.EXEが梱包されていたパッケージには2種がある.一つはZIPファイルを内部に持った自己解凍式のEXEでもう一つはマイクロソフトのmsiインストーラ形式のものだ.前者はゼルコバの木アルファ版,後者はベータ版になってからのものと思われるが,この移行が実施された時期を見ておこう.リリース版は基本的にすべてソースごと保存してあるのでこれを調べれば分かるだろう.

配布パッケージがmsi形式になったのは2009年8月頃と思われる.それまではすべてEXEだったはずだ.ベータ早出し版のリリースが2009年4月,ユーザ会クラブハウスのオープンが2010年の5月だからちょうどその中間くらいの時期に移行したものとみられる.

一番最初に実行したソースネクストのスーパーセキュリティで検出したウィルスは(アンインストールしてしまったため)情報が残っていないが,カスペルスキーの検査結果はレポートを取ってあるので,その分だけでもリストアップしてみよう.検出されたウィルスはすべてトロイの木馬,HEUR:Trojan.Win32.GenericCだった.重複を除くとウィルスが検出されたパッケージは以下の12本だ.

  1. 2011021904 QHAYJVG ZelkovaBetaSetup.1.9.8.11.msi(所内版)
  2. 2011081023 IVNBSOH ZelkovaBetaSetup.1.9.9.03.msi(所内版)
  3. 2011090415 OCVBJZG SetupBetaForMe.msi(不明)
  4. 2011090512 MLUCMVG SetupBetaForMe.msi(不明)
  5. 2011110319 GIFXPBH ZelkovaBetaSetup.1.9.9.57.msi(未公開)
  6. 2011111022 GMNUIC ZelkovaBetaSetup.1.9.9.63.msi(公開)
  7. 2014012313-KQIBWGM ZelkovaBetaSetup.2.0.0.000.msi(公開)
  8. 2014032120-AFSKMPF ZelkovaBetaSetup.2.0.0.087.msi(公開?)
  9. 2014032320-QZABLSG ゼルコバの木.exe(V2.0.0.087)(公開?)
  10. 2016111321-ERXTFJM ZelkovaTreeSetup.2.0.1.175.msi(不明)
  11. 2017012221-QDPHBWK ZelkovaTreeSetup.2.0.1.335.msi(公開)
  12. V2.0.1.512_R2017-05-12 ZelkovaTree2017.exe(安定版)

項目9を除くとすべてmsiだが,配布パッケージの中に入っているゼルコバの木.exeが感染原なので12のバージョンが汚染されていたということになる.2011年から2017年5月までの期間で300本近くの改訂版がリリースされているが,汚染されているのがそのうちの12本に限定されているというのはどういう理由だろう?

ウィルスの侵入が始まったのは2011年でVer 1.9.9から2.0.0に移行する時期と推定される.つまり,もっとも盛り上がっていた時期と言ってよい.Ver 2.0.0.0 というバージョン番号はかなり長い期間固定され,同一バージョン番号を持つものがシリーズでリリースされていた.(ここで足踏みしていたのはこの時期V2.0=正式版と考えられていたためだ)

KQIBWGMは内部的には2.0.0.035となっているが,外部には2.0.0.000.msi で出されていたものと思われるので公開されていたのは間違いないように思われる.2011年は東北大震災の年で,最初に侵害されたVer 1.9.8.11はそれより一ヶ月早い2月19日にビルドされている.これらのバージョンが実際に公開されているか,所内リリースに留まったものであるかは今のところ正確には分からない.

SetupBetaForMe.msiというのはXPよりも古いOS向けにリリースした「ゼルコバの木クラシック版」に相当するもので,ダウンロードされた本数はごく少数に留まるものと思われる.

外付けHDは「カスタムスキャン」という方法で実行したが,この処理にはレポート出力機能がないため画面に表示されたものを手書きで拾い出した.東芝ポータブルHD 700GB のカスタムスキャンでは「メール」に付いていたウィルスが検出されている.30 Jan 2006 08:07:23にS.A.という人物から送信された「TRUE CRYPTについて」というタイトルのメールだ.パソコンのメールボックスにはオリジナルがあるが,カスペルスキーのスキャンでは検出されなかった.

先に実行したスーパーセキュリティが駆除してしまったのか?ないしもっと前に無料のウィルス駆除ソフトで駆除されていた可能性もある.これはUDS:Trojan.Win32.FakeTC というウィルスだが,Email-Worm.Win32.NetSky.dとUDS:DangerousObject.Multi.Generic などのワームがメールから検出されている.これらはすべて不達メールとして返ってきたものに入っていた.

  1. 8 Sep 2004 From Mailer-Daemon @mail7.cwidc.net
  2. 12 Sep 2004 From Mailer-Daemon @mail7.cwidc.net
  3. 12 Sep 2004 From Mailer-Daemon @mail01.cyberhome.ne.jp
  4. 13 Jul 2004 From Mailer-Daemon @mail01.cyberhome.ne.jp
  5. 13 Jul 2004 From Mailer-Daemon @www.tyo.co.jp
  6. 22 Dec 2005 From register @aya.or.jp
  7. 29 Jan 2006 From adichad @gmail.com

これらの不達メールはほとんど”thanks”とか”Hi!”などのショートメッセージに対するうっかり応答でワームはもともとこれらのメッセージの中に仕込まれていたものと思われる.上記ロリポップ!からの「ウィルス検出通知」に関わるメールはこの中には含まれないが,おそらくその時点ですべて廃棄してしまったのだろう.

ウィルスの侵入時期は①2011年,②2014年,③2016~17年の3期に区分できるが,ひょっとすると,これらのウィルスはすべて同一で単純にパソコン内で増殖したものだった可能性もある.すでにウィルスはすべて駆除されてしまっているので比較することはできない.

いや,多分その推測は当たっていない.これまで開発用に使っていた lenovo製ノートパソコンは2012年頃に購入しているので少なくとも2011年と2014年の間には断絶がある.

2016年2月にはネットが閉塞して外部と完全に遮断された状態になるので,2016年,2017年の2例は外部から仕込まれたものではなく内部に潜在するウィルスの自己増殖と考えられる.

従って,もし今回のメール大量配信が潜伏していたウィルスによるものであるとしたら,それが仕込まれたのは2014年だったと考えるのが妥当だろう.つまり,そのものずばりゼルコバの木がいよいよV2.0へ進展しようとしていた時期に当たる.

v_2_cutaway_bigR

早速こんなメールが入ってきた.
注意!下記の文中のリンクを絶対にクリックしないこと!

 
 
 

 
 
 
 
 
 
 
Important notice
Notice#: 638083
Date: 12/09/2018

Expiration notice

Domain: zelkova-tree.net

Expiration date: 12/17/2018

 
To: age baba, Zelkova Tree Users Club    
1-3-72 Inaricho
Fukaya-shi    
Saitama, 3560026 JAPAN    

Domain Name:

Registration Period:

Amount:

Term:

zelkova-tree.net 12/31/2018 to 12/31/2019 $86.00 1 Year

Secure Online Payment

Domain Name: zelkova-tree.net
Attn: age baba
This important expiration notification notifies you about the expiration notice of your domain registration for zelkova-tree.net search engine optimization submission. The information in this expiration notification may contain legally privileged information from the notification processing department of the Domain Seo Service Registration to our search engine traffic generator. We do not register or renew domain names. We are selling traffic generator software tools. This information is intended for the use of the individual(s) named above.
If you fail to complete your domain name registration zelkova-tree.net search engine optimization service by the expiration date, may the dismissal of this search engine optimization domain name notification notice.
Process

Secure Online Payment

to complete your payment.

Failure to complete your seo domain name registration zelkova-tree.net search engine optimization service process may make it difficult for customers to find you on the web.
Process Payment for
zelkova-tree.net
Secure Online Payment

Act immediately

This domain seo registration for zelkova-tree.net search engine service optimization notification will expire 12/17/2018.


Instructions and Unlike Instructions from this Newsletter:
You have received this message because you elected to receive notification. If you no longer wish to receive our notifications, please unlike here. If you have multiple accounts with us, you must opt out for each one individually to unlike receiving notifications. We are a search engine optimization company. We do not directly register or renew domain names. This is not a bill. You are dont need to pay the amount unless you accept this notification. This message, which contains promotional material strictly along the guidelines of the Can-Spam act of 2003. We have clearly mentioned the source mail-id of this email, also clearly mentioned our subject lines and they are in no way misleading. Please do not reply to this email, as we are not able to respond to messages sent to this address.
 
 
 

こういうのをフィッシングと言うのだろう.あちこちにボタンがあって押せばあっと言う間にどこかに連れ込まれるに決まっている. 速攻で削除するしかない.⇒証拠物件を保全するために「受信拒否リスト」に登録して「迷惑メール」に振り分けた.

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA