フィッシングについては、「ユーザが気づかないようにだましのホームページへアクセスさせ入力データから情報を盗み取る」というぐらいの知識しか持ち合わしていません。
っで、起動時にこのウィルスが何をしているか
WindowsXPのネットワーク系のサービスにとり憑いたと考えられるウィルスがWindowsXPの起動とともに開始されるサービスによって活性化し、最初にフィッシングサイトの問い合わせプロトコルを行うのではないかと考えました。
そういう視点でログを見てみると、ウィルスはWindowsXPの起動直後に以下のような送信を行いカスペルスキーに拒否されています。
「ログA」
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
「ログB」
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 検知しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 遮断しました: 64.69.33.135/* データベース
「ログC」
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 64.69.33.135/* データベース
「ログD」
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 70.86.6.246/* データベース
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 70.86.6.246/* データベース
「ログE」
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: yournewsblog.net/* データベース
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: yournewsblog.net/* データベース
64.69.33.135 = sbt3.superbuytires.com
70.86.6.246 = yournewsblog.net
「yournewsblog.net」は、ネットで検索すると「findsproportal1.com」と同列のサイトのようです。
ところが、「superbuytires.com」は車のタイヤを売っている普通のショッピングサイトに見えます。このサイトについてコメントしている日本のタイヤマニアもいます。どうもフィッシングサイトには見えません。だからこそ怪しいとも見えてしまいます。
一方、「sbt3.superbuytires.com」は、NSレコードではなくAレコードとして登録しているようです。
結局、このプロトコルの意味はわかりませんでした。
ただ、各サイトとも迷わず「tdss」または「tdss2」の「crdcmds」の「main」に向けてアクセスしています
システマティックな環境を想像させます。
2008年12月20日 15:37:08