ブラウザを起動すると 【Find404.com】 【ie.getitclear.com】 というサイトが表示される問題について。原因はjavaのセキュリティホールを悪用したドライブバイダウンロード攻撃か?

【スポンサーリンク】

皆様、こんばんは。

今日からまた月曜日、週の初めということでまた頑張っていきましょう!

それでは今回の投稿です。

【スポンサーリンク】

【Find404.com】 【ie.getitclear.com】 というサイトが表示される問題

さて本日の投稿ですが、知恵袋にて以下のようなご質問が挙がっておりました。

今朝からネットにつなげると「Find404.com」というページが開いてしまい困っています。

ブラウザを起動した際に、「Find404.com」というサイトにリダイレクトされる症状とのことでした。そこでさらに調べてみると以下のサイト様を見つけることが出来ました。

【5/11更新】ブラウザを起動すると、find404.com、ie.getitclear.comが表示されるウイルスの対策について 【ZONE-Z】



・PCが再起動するたびにブラウザで起動されるホームページが勝手に変更される(http://www./find404.com)(http://www./ie.getitclear.com)

・2013/5/8現在 少なくともウイルスバスタークラウドを入れている場合、脅威を検出するが完全な駆除は出来ない。

・外付けHDD・USBメモリ(Windowsのエクスプローラーから記憶媒体として確認出来るもの)などの外部記憶媒体に不審な実行ファイルがある

(xxxxxxxxxx.exeのような形式 隠しファイルになっておりデフォルト設定では見えない以下の?の手順で確認可能)



どうやら同様の症状の事例は、先週より発生しているようですね。そして上記サイト様によれば、感染原因として以下を挙げておられますね。


私が確認出来たのは、Java Runtime Environment(Javaで作られたソフトを動作させるためのソフト)を悪用した外部記憶媒体感染型ウイルスのようです。


JREの脆弱性を悪用した感染ということは、webサイトの閲覧時にマルウェアを強制感染させられるドライブバイダウンロード攻撃による感染ということになります。

それでは次に以下の悪代官さんの掲示板をご覧ください。

9291149:Find404.comがかってに表示されます。

>O2 – BHO: Java(tm) Plug-In 2 SSV Helper – {DBC80044-A445-435b-BC74-9C25C1C588A9} – C:\ProgramFiles (x86)\Java\jre7\bin\jp2ssv.dll

>O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe”

上記のご質問内でご質問者さんが挙げておられたHijackthisにおけるログの一部です。先のサイト様の言葉を裏付けるように、感染原因として挙げておられたjavaがインストールされていますね。

それから以下の不明なログの存在です。

>O4 – HKCU\..\Run: [Thioih] C:\Users\Owner\AppData\Roaming\Microsoft\Thioih.exe

>O4 – HKCU\..\Run: [System Starter] C:\Users\Owner\AppData\Local\Temp\1344943673.exe

>O4 – HKLM\..\Policies\Explorer\Run: [51434] c:\progra~3\dxaagtdig.exe

ファイルが作成されている場所が、ユーザフォルダ下の隠しフォルダですね。

どうやら今回の感染にて感染させられるマルウェアは、かなりやっかいな気がします。そして先のサイト様がお書きになられていた、

外付けHDD・USBメモリ(Windowsのエクスプローラーから記憶媒体として確認出来るもの)などの外部記憶媒体に不審な実行ファイルがある

この部分の挙動はスカイプウイルスに採用されているDorkbotによく似ていますね。また先の悪代官さんの掲示板の中におけるご質問者さんのMBAMのログを見てください。



2013/05/12 0:02:26
mbam-log-2013-05-12 (00-02-26).txt

スキャンタイプ: フルスキャン (C:\|)
有効なスキャン領域: メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン  | ヒューリスティック/Shuriken エンジンを使用してスキャン  | 不審なプログラム (PUP) | 不審な変更 (PUM)
無効なスキャン領域: ピア・ツー・ピアプログラム(P2P)
スキャンしたアイテム数: 379206
経過時間: 40 分, 48 秒

メモリプロセスの検出: 0
(悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Fhjajf (IPH.Trojan.Zbot.Rke) -> データ: C:\Documents and Settings\toyo\Application Data\Microsoft\Fhjajf.exe -> 正常に隔離され削除されました。

レジストリデータ項目の検出: 0
(悪意のあるアイテムは検出されていません。)

フォルダの検出: 0
(悪意のあるアイテムは検出されていません。)

ファイルの検出: 19
C:\Documents and Settings\All Users\Application Data\K7 Computing\K7TSecurity\K7AntiVirus\Quarantine\52B3037FF2BFBF69EA1F7CE53B0C1A21.k7v (PUP.Adware.Agent) -> 何の措置も取られませんでした。
C:\Documents and Settings\toyo\Application Data\Microsoft\Fhjajf.exe (IPH.Trojan.Zbot.Rke) -> 正常に隔離され削除されました。
C:\Documents and Settings\All Users\Application Data\K7 Computing\K7TSecurity\K7AntiVirus\Quarantine\3B34C0D6B9D6BE51AE2A6D9D99BE4D75.k7v (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\144.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\145.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\146.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\147.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\1C9.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\1CA.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\1CB.exe (Trojan.Banker) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\ScreenSaverPro.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\temp.bin (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP315\A0051673.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP316\A0053097.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP316\A0053105.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP317\A0053113.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP318\A0053583.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\System Volume Information\_restore{DC21597A-E602-4875-9BA0-9673E2A8F963}\RP318\A0053596.scr (Trojan.Ransom) -> 正常に隔離され削除されました。
C:\Documents and Settings\toyo\Application Data\21.exe (Trojan.Agent) -> 正常に隔離され削除されました。



上記の検出されたものが今回のドライブバイダウンロード攻撃により感染したと仮定した場合、今回のマルウェア感染はリダイレクト症状のみならず、やはり非常に悪質なマルウェア感染であると言えるかと思います。検出されたマルウェアを見てください。

Trojan.Zbot.Rke

bot系のマルウェアで通称ZEUS。このマルウェアはお使いのPC内の情報を搾取することが主ですが、それ以外にも別のマルウェアをダウンロードしたり、実行できるなどリモート機能も有するマルウェアです。

Trojan.Banker

このマルウェアも各種オンラインサービスのアカウント情報の搾取を主としたマルウェアです。

Trojan.Ransom

PC内の情報を搾取したり、データを暗号化し、データを取り戻したければお金を払うように要求するタイプのマルウェアです。

以上のように感染したマルウェアは非常にやっかいです。決して甘い認識をお持ちにならないようにお願いいたします。

【スポンサーリンク】

対処方法

さてそれでは最後に対処方法ですが、僕は今回の感染について昨日、初めて調べたのみで情報を持っていません。

そのため対処方法については記載できません、ごめんなさい。ただ感染症状を考えますとリカバリも視野に入れる必要性があると思います。

また感染症状からリカバリの際には、マルウェア感染時に外部記憶媒体をご使用されていた方は左記も併せてフォーマットする必要もあると思います。

そして今回の件についてご相談したい場合、実際にご質問者さんとやり取りをされている悪代官さんの掲示板が一番と考えます。

 【PC内のログを採取する方法】 

  hijackthis及びアンインストール情報ツールを用いたログの取り方と貼り付け方法について 

 【悪代官の伏魔殿掲示板】 

悪代官の伏魔殿掲示板

お困りの方はぜひご相談なさってください。

それでは最後になりますが皆様、脆弱性対策としてのjava対策はどうか万全になさってください。

【緊急】Java 7の脆弱性について対策まとめ

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のハッキングの対策方法に関連する記事に興味がある方は、ぜひ一度以下のハッキングの対策方法に関連する記事のまとめを参照してください。


<ハッキングの対策方法に関連する記事のまとめ>

1、URL

ハッキングの対策方法に関連する記事のまとめ


それでは以上です。

*1:注:つまりインターネットと接続されていないということです