★阿修羅♪ > Ψ空耳の丘Ψ58 > 462.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
ウイルスに犯された某ネットカフェ、その後の顛末記 その4
http://www.asyura2.com/10/bd58/msg/462.html
投稿者 あのに 日時 2010 年 7 月 30 日 00:03:15: xZaQXyDl16EGo
 

(回答先: 健康警告マニュアル PCの防御 追加c インターネット統一管理機構 投稿者 あのに 日時 2010 年 7 月 28 日 06:24:09)

ウイルスに犯された某ネットカフェ、その後の顛末記 その4


1、サイバーテロの目的

一連のウイルス騒ぎの感染過程を考えると、これが愉快犯ではなく、陰謀であることが推測できる。もちろん、ITマスメディアはこういったことを隠そうとしている。愉快犯であるとの印象を伝えるべく記事にしているのだ。

サイバーテロの目的を考えよう。単純にウイルスをばらまいているだけではない。最終的には個人名と、IP番号を中央コンピュータで編集しリストにできるようにするためである。どうやってか。PCがユーザーのIPを送出できればいいのだ。そのために、さまざまな方法が実施された。だから、何重にも出てくる個人名とIP番号のセットで、もうすでに総背番号化は完了しているだろう。マイクロソフト社のアップデート、PCメーカのサポート、ウイルス対策ソフトメーカーのサポートなどで、ほとんどのPCユーザーのIPリストはできあがっている。それ以外のPCユーザーのIPリストをつくるためには、未知のコードをPCに入れて、PCがユーザーのIPを送出できるようにすればいいのだ。未知のウイルスが、うようよいる状態を作ればよいのだ。
これがウイルス騒ぎの本質なのだろう。ウイルス駆除してクリーンなはずのPCからマルウエアが、IP番号をどこかに知らせるのである。インターネット統一管理機構の存在がなんとなく感じられる。このウイルス騒ぎは、実は個人のPCのIP番号の同定や、ネットカフェユーザーの同定を目的とした一連の動きにちがいない。これが第一段階である。

第2段階。つぎにIPが確定したPCに対してのリモートコントロールだ。不正進入は、つねにひっそりこっそりしのび足、と、まるでこそ泥のように行われる。あたりまえか。まだ、この段階では、気がつかれることはいっさいしない。
ここで行われるのは、主として利益のあるファイルの窃盗だ。個人情報やメールや写真、なんらかのデーターなど金銭的価値のあるものが密かにコピーされる。流出がPC機の操作者本人の責任になるようWinnyなどP2Pのダウンロ−ド・ソフトが作られ、アダルト動画などをえさに大流行させる。ITマスメディアは特集を組み、流れをつくる。Winnyウイルスを作り、流布させる。そうすると、さまざまなデーターが流出するが、しかしそれはWinnyを通じてではないだろう。不正アクセスで流出するのだ。こうして本人のIPと流出ファイルによって思想調査、プロファイリングが行われる。ついでに、お楽しみのばかさわぎだ。本人のエロ写真やエロ動画が出てくれば祭りになる。

第3段階では、日常的監視である。これが行われるのは特定の要注意人物だろう。アマゾンの書籍購入リストやホームページ、掲示板の主張などから抽出されたブラックリストにある人物だ。まるで警察の張り込みのようにチェックされるのだ。私も絶えず監視されているのはブラックリストにあるからかも。どのホームページを読みにいくか、メールはどこへ出しているか、どんな内容か、など、つぶさにしらみつぶし、のみつぶし、ごきぶりつぶしということで、私は、しらみ、のみ、ごきぶりの扱いを受けているわけだ。

第4段階では、あらゆる実力行使である。PC機のインターネット接続をカットしたり、ウイルスを放り込んだり、操作不能や終了不能にしたり、PC機を破壊したりすることもしているようだ。彼らは2ちゃんねるのインターネット暴力団なので、ボス猿が歯をむくように、示威行動をとる。CDトレイを開け閉めしたり、いきなりシャットダウンさせたりして、脅かすのだ。こうした長期間のいやがらせで、インターネットから遠のいた人もきっとたくさんいるのだろう。
しかし、ウイルスマンに愛され、ぼこられたネットカフェの被害も甚大である。例の某ネットカフェでは、今10台ほどがPC使用不能の札が貼ってあった。彼らウイルスマンに愛され、なぶり殺しにされたPCのご冥福を祈ります。でもこのネットカフェからウイルスを、知らず拾っていく人もいるんだよねえ。

監視ということでは、ネットカフェのIPはおおむね1つなので把握はしやすい。ネットカフェを見張れば10個くらいのIPで数千人の人を監視できるのだ。ウイルスやマルウエアの拡散も効率的に一気に行える。
誰かが、ネットカフェで感染したデーターを自宅にUSBメモリー経由で持ち込むと、「S.ISODAウイルス」が自宅のPCに入るのだ。ウイルス対策ソフトがこのAutorun.infウイルスの一種を検知するかしないかははっきりわからないが、そこを素通りして、職場へデーターを持ち込むと、さらにさらにねずみ算で数千台、数万台に拡散していくのだ。そしてそれは取り除けないのだ。深部にもぐりこんだら、ウイルス対策ソフトで検知しないのだ。OS再インストールでもダメなのだ。

2、感染の過程

さて、その侵入過程を考えてみよう。

隠しファイルを見えなくする「S.ISODAウイルス」の感染の過程は、細部は違っているかもしれないが、つぎのようにまとめられる。これらすべてはWindowsの隠しファイルの悪用、(ん、隠された隠しファイルの正しい利用法?)と、トリガーとなる小さなコードの細工なのである。

その方法は最初は、Thumbs.db のマルウエアからはじまる。これはAll Usersのリンクの中に隠れるので発見できない。また削除もできない。システムファイルなので、もちろんウイルス対策ソフトはまったく検知しない。
つぎにRECYCLERに実行ファイルが埋め込まれ、Autorun.infの起動でOSの中に埋め込まれるが、MBR Rootkit マスターブートレコーダールーツキット なので、ネットカフェの再起動では、ネットカフェのOSに潜り込む。ここでは、おそらく、ウイルス対策ソフトはAutorun.infウイルスの警告や駆除をするかもしれない。もし使っていればだが。
さらになんらかの方法で system volume information の中の奥の方に実行ファイルを仕込む。C:とは限らず、発見されにくい別パーテションのsystem volume information の中にも、もぐりこむ。そして、画像や動画ファイルをクリックすると、なにかがトリガーとなって、system volume information 内の実行ファイルが動き出し、OS内にバックドアを開くRATを挿入するのだ。それまでは、なんの動きも見せないが、このトリガーが活火山の引き金となり、あとは異常だらけになる。ここまで仕込まれると、実行ファイルは見つからないし、もちろんウイルス対策ソフトはまったく検知しない。

system volume information の中の偽装された悪実行ファイルは、復元の無効化でもOSの再インストールでも必ず生き残るのである!!

こうして不正アクセスは成功し、ウイルス対策ソフトはまったく検知しないので、システムの調子がおかしいなどと、あまりに脳天気に無反応だと、ウイルスマンは気になって気を利かせてくれ、既知のウイルスを大量挿入し、ウイルス対策ソフトのアラートが真っ赤に出るようにしてくれるのだ。
ネットカフェで大騒ぎするのを画面で見て、ほくそえみしつつ、ビールでも飲んで乾杯しているのだろう。よし、これでミッションは大成功だ、ここでも、またPC機の大量購入になったぞ、と。

 

  拍手はせず、拍手一覧を見る

この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
 コメントの2重投稿は禁止です。  URL紹介はタイトル必須
ペンネームの新規作成はこちら←  最新投稿・コメント全文ページ
フォローアップ:

 

 次へ  前へ

▲このページのTOPへ      ★阿修羅♪ > Ψ空耳の丘Ψ58掲示板

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。

     ▲このページのTOPへ      ★阿修羅♪ > Ψ空耳の丘Ψ58掲示板

 
▲上へ       
★阿修羅♪  
この板投稿一覧