Secure.html・You are visiting PEDO sites！ - 感染してみました♪

　Secure.htmlはもともと、2004/2月ころから流行していた悪質なブラウザハイジャッカーです。
　「なにかあやしいサイトを見たでしょう？」と脅迫的な文章を表示する程度でした。

　でも2004/4月上旬ころから、アダルトサイト関連のトラップとして世界規模で急速に大流行しています。
　主な手口は、タグ貼り付けができる無関係な画像掲示板にあやしいものを貼り付け、そのサイトを見たユーザーに感染元のサイトを表示させて感染させるという手口です。

　はじめのうちは「http://trafficex.org/」にリダイレクトさせるものが中心でした。でもわずか数日のうちに、そのほかのバージョンが出現しているみたいです。
　Internet Explorerを起動したとき、「C:\WINDOWS\secure.html」の「You are visiting PEDO sites！」という黄色い画面を表示させるのが特徴です。

　この悪質なBrowser Hijackerは、複数のスパイウェア・ブラウザハイジャッカーを組み合わせたものです。まだこのトラップのはっきりした名前はないみたいです・・・とりあえずSecurePedoと呼んでみます。
　もしこのスパイウェアの名前がわかったら、更新しておきますね。

　テストしたときに、表示されたActiveXコントロールなどをぜんぶインストールしたからなのかもしれませんけど。　レジストリの改変点と作成・更新されるファイルの数が多すぎます。
　そしておなじWebサイトを見て感染させたのに、2004/4/11の夜と2004/4/12の夜では症状が違うみたいです。

　Ad-awareの販売元のlavasoftでは、このスパイウェアに対応するために1日に2回のペースで製品を更新しています。
　もうすぐ完全に対応されるのかもしれません。

　Internet Explorerで最初に表示された画面です。URIは「http://www3.xfreehosting.com/teen/izambertino.com.html」です。

このようなダイアログが表示されました。とりあえず[送信しない]を押します。

GO-Gi.COMという変なページが、全画面表示で出ます。この画面はそのままでは閉じられないので、[Alt + F4]で閉じました。

変なAcrtive-Xコントロールをインストールするように要求されます・・・
実験のために、[はい]を押します。

[Please select your country]というダイアログが出ました。
Japanを選択してGoを押してみます。

「CONGRATULATIONS FOR YOUR NEW DOUBLE-SIDED TOOLBAR」、閉じます。

Internet Explorerのホームページ（起動したときに表示されるページ）を変更してもいいのか、ダイアログが出ます。OKを押してみます。

「Hi MAN！　DO YOU LIKE THESE BABES？」という画面が表示されます。閉じました。

「These appears to be no modem installed on your computer」という警告ダイアログが出ます。
国際電話にダイヤルアップの番号を変えるつもり？
ADSLなので関係ありませんけど。

OKを押しますと、「No Modem selected」というダイアログが出ました。

よくわからない画面が表示されます。「Thank you for choosing to be on our web site」です。

「Web Site Viewer」のダイアログが出ます。「Are you sure you want to quit？」。OKを押します。

あやしいActiveXコントロールをインストールさせようとしています。
「MediaTickets to view content on this site? By clicking Yes you accept the MediaTrickets Terms of Services」
「はい」を押してみます。

「Adult Search portal」という画面が表示されます、閉じてしまいます。

Internet Explolrerの警告が表示されました。OKを押してみます。

　デスクトップに変なものができています。「movietrading1」？

　バックグラウンドで起動しているInternet Explorerを閉じられません・・・選択してAlt + F4で閉じます。

　OSを再起動してから、Internet Exploreを起動してみます。
「You are visiting PEDO sites！」という黄色い画面が表示されます。

「Connected via NE」が全画面表示されます。Alt + F4で閉じました。

「Detected SPYware！ System error #384」という画面が表示されます。
この画面はWindowsのエラー画面ではなく、ブラウザハイジャッカーが勝手に表示しているみたいです。
　Internet Exploerのキャッシュと履歴とCokkieを削除して、RegDiffで差分を作ってみました。でも相違点が1600を超えています。
　関係ないレジストリのキーが多すぎて、編集ができません・・・
　レジストリを修正するためのregファイルを公開できるような状況ではないみたいです・・・

　新しく作成されたファイル・フォルダの数は、1回目の再起動のあとにまめFile2で検索してみて調べましたけど、235でした。
　気になるファイルとして、optimize.exe。
　有名なところですね。

　2004/4/11現在、アンチスパイウェアソフト、アンチウイルスソフトはこのSecurePedoに十分には対応していません・・・ 　このスパイウェアをインストールした直後に、OSを再起動してInternet Explorerを開きました。
　数時間後に2回目の再起動をしてみます。[Pseal1」という空白の画面が表示されました。
（この画面はOSを数回起動して1回表示される程度です、かならず表示されるのではないみたいです）

ソースを表示してみます、でも空です。

　パケットキャプチャの結果です。
この4つのホストを問い合わせるDNSの正引きのトラフィックがありました。
　www.clickspring.net
　ping.180solutions.com
　bis.180solutions.com
　pisces.clickspring.net
　勝手にファイルをダウンロードして、更新しているみたいです・・・
　パケットキャプチャの結果です（Cokkieの項目は編集させていただきました）。
　secureped-log1.txt
　secureped-log1.txt
　secureped-log1.txt
　secureped-log1.txt

　[コントロールパネル] - [プログラムの追加と削除]は、開いた直後に勝手に閉じてしまいます。
　Internet Explorerのプロパティも、開いた直後に勝手に閉じてしまいます（キャッシュだけは気合で削除してみました）。

　ここで困った問題が起きました。試した日時によって、結果が違うみたいです・・・
　2004/04/11 22:38ころに感染させたのですけど・・・

　インストールしたあと、OSを通常起動してシャットダウン、そしてセーフモードで起動してレジストリの差分を作ってみました。
　相違点は1693です。

　まめFile2で検索した作成されたファイルの数は、241です。更新されたファイルは301です（作成されたファイルを含む数字です）。

　C:\WINDOWS\hostsが作成されています、でも中身は空でした。

そのうちに、あやしいアイコンとバーが出るようになりました。
Investing、Printer Cartridges、Travel、Card Games、Website Hosting、Bingo、Casino Onlineです。

　このスパイウェア・ブラウザハイジャッカーは、あらゆるスパイウェアの複合感染型です（テスト環境が甘すぎたのかもしれません）。
　Internet Explorerで見ただけで感染しましたけど。
　最初にテストした次の日の夜にはもう別のページになっていて、さらにパソコンを起動したときに自動的にアップデートされていたのを確認しました。

　いちばん確実な方法は、このような方法です。
　ファイルの作成日時を確認してから、作成されたファイルの手動削除。
　[システムの復元]を使い、レジストリを修復。

　SpyBotはしばらくアップデートしていません。
　Ad-awareは最近毎日更新されていますから、テストに使ってみます。

　Googleで[secure.html]と[pedo]を検索した結果、HijackThisというツールを使用した相談例が数百件見つかりました・・・みなさん苦労しているんですね。
　感染前と感染後の状態で、HijackThisのLogファイルから差分を作ってみます。

　Secure.htmlでGoogle検索した結果、HijackThisというツールを利用した相談例がたくさんあることを知りました。
　さっそく試してみます♪

　HijackThis v.1.97.7の感染前と感染後のログの変更点をまとめてみました。
　感染後のパソコンは、ネットに接続したままで自動アップデートさせます。そしてLANケーブルを外してみます。セーフモードでのスキャンと通常モードでのスキャンの結果は異なりますから、通常モードで起動してHijackThisのログファイルを作ってみました。

　結果がよくわかりません。
　通常起動でスキャンしたのに、1回目と2回目ですこし結果が違います・・・
　（1回目のスキャンのあと、Virtual PCでスキャン前の状態に戻しましたから、2回目のスキャンのときの環境はまったく同じ、はずです）。

　そしてもうひとつ、問題がおきました・・・
　HijackThisのログには、[C:\Documents and Settings\Tef-Tef\スタート メニュー\スタート メニュー\movietradings1.url]が書かれていません・・・
　HijackThisでは、スタートアップフォルダはチェックしてくれないみたいです・・・
　感染前と後で違う項目はこちらです。
HijackThisを使ったひとは、この項目をすべて削除する必要があるのかもしれません。

1回目 Running processes: C:\WINDOWS\reg33.exe C:\WINDOWS\dl.exe C:\WINDOWS\dlm.exe C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\Internet Optimizer\optimize.exe C:\program files\180solutions\msbb.exe C:\WINDOWS\let.exe C:\PROGRA~1\ref exit peak\OKAY BOWS.exe C:\Documents and Settings\Tef-Tef\Application Data\dcho.exe C:\WINDOWS\System32\wintsvtr.exe R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe O4 - HKLM\..\Run: [let] C:\WINDOWS\let.exe O4 - HKLM\..\Run: [VIEW16] C:\PROGRA~1\ref exit peak\OKAY BOWS.exe O4 - HKCU\..\Run: [Eaah] C:\Documents and Settings\Tef-Tef\Application Data\dcho.exe O4 - HKCU\..\Run: [WCPT] C:\WINDOWS\System32\wintsvtr.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/ms/x.chm::/load.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab 2回目 Running processes: C:\WINDOWS\reg33.exe C:\WINDOWS\dl.exe C:\WINDOWS\dlm.exe C:\WINDOWS\winupd.exe C:\WINDOWS\sxchost.exe C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\Internet Optimizer\optimize.exe C:\WINDOWS\ovgrsr.exe C:\PROGRA~1\ref exit peak\OKAY BOWS.exe C:\Documents and Settings\Tef-Tef\Application Data\dcho.exe C:\WINDOWS\System32\wintsvtr.exe F0 - R O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Upgrade Sarvice] C:\WINDOWS\sxchost.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [VIEW16] C:\PROGRA~1\ref exit peak\OKAY BOWS.exe O4 - HKCU\..\Run: [Eaah] C:\Documents and Settings\Tef-Tef\Application Data\dcho.exe O4 - HKCU\..\Run: [WCPT] C:\WINDOWS\System32\wintsvtr.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/ms/x.chm::/load.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

　CoolWebShredderは、CoolWWWSearchという変種がたくさんあるスパイウェアに特化したツールです。
　CWShredder v1.56.1、ファイルバージョン1.56.0.1を使います。

　使いかたがよくわからないというひとは、こちらをどうぞ。
　Yahoo! JAPANの検索で無関係なページが表示される

　スキャンするときにブラウザのウィンドウをすべて閉じてください」というような警告が出ました。
　Internet Explorerを起動していない状態なので、そのままCWShredderを使います。

　テストの結果、OSを通常起動したときには[Restoring Internet Explorer pages]が12、OSをセーフモードで起動したときには[18 items]でした。

　他の項目はなにも検出されませんでしたので、CoolWebShredderでの対処は難しいみたいです・・・

　準備のためAd-awareをインストールして、最新の状態にアップデートしておきました。
　LANケーブルを抜いて、OSをセーフモードで起動してみます。


　Ad-awareのreflist.zipを使って、最新の状態にしてみます。
　Latest reference file : 01R290 13.04.2004をダウンロードしてCD-Rに焼いて、Ad-wareをアップデートしておきました。

　スキャンが終わりました。
ちなみにAd-awareのアップデート前の11日のスキャンでは[122 New objects]でした。

　Latest reference file : 01R294 15.04.2004でAd-wareをアップデートしておきました。
どうなるのでしょう？
　スキャン結果の検出数が、バージョンが更新するたびに減っていきます。
　理由はよくわかりません・・・
　とりあえず[Show Logfile] - [Save]でスキャン結果を保存しておきます。
　[Next]を押します。
　検索結果の上でマウスを右クリックして、[Select All Objects]を選択します。

　[Next]を押します。
　[Scanning result]のVendorの欄には、このようなものが表示されました。
　[180Solutions, BuddyLinks, ClickSpring, DyFuCA, istbar, StopPop, TIB Browser, Possible Browser Hijack attempt, GreatSearch-biz, Tracking Cokkie]
　01R294 15.04.2004ではVX2.BetterInternetが検出されなくなりました・・・

　[Sucanning results]の画面の検索結果の上でマウスを右クリックして、[Select All Objects]を選択します。
　すべてのボックスにチェックが入ったら、[Next]を押します。
　確認画面で[OK]を押してみます。

　でもAd-awareでは完全には処理ができないみたいです。
　処理のあとにも、ファイルがまだ残っています・・・

　01R294 15.04.2004では69ファイルです、そしてそのうちexeとdllは13です。のこりのファイルはPrefetchフォルダの中のファイル、txtファイル、空のフォルダ、無害そうに見えるファイルです。


　なにが残っているのでしょう？たとえばwinrr.exeはTrojan.Ibiza（Symantec）です。
　11日のスキャンでは削除しきれなかったファイルの大部分、そして削除されなかったInternet Explorerのお気に入りが消えました。それにくらべれば、わずか3日でずいぶん対応が進んだみたいです。

　このまま数日待てば、完全に対応してもらえるかもしれません♪
　でもInternet Explorerのホームページ（ブラウザを開いたときに最初に表示されるページ）がまだ修正されていませんね。
　[スタート] - [ファイル名を指定して実行] - [msconfig]と入力して[OK]を押して、システム構成ユーティリティを起動します。
　[スタートアップ]から、[dl]、[dlm]、[OKAY BOWS]、[dcho]の項目がのこっているのを確認しました。
（画像はこれらを起動させないようにするため、手動でチェックを外した画面です）

---

　画像がおおくて文章が長くて、読みづらかったですか？
　お疲れさまです・・・

　駆除するための、まとめのページにつづきます。
　Secure.html・You are visiting PEDO sites！ - 駆除してみました♪