ウチのサイトで、ちょっと面白い事件がありました。 すでに後始末を含めて事件は終了していますので、特定情報の部分は伏せて纏めてみます。
・ すべてはX氏の質問掲示板投稿からはじまった
ことの起こりは質問掲示板です。X氏という人から「NazonoXGameZone」なる凶悪なマルウェアに感染したと相談がありました。WinFixerのポップアップを伴うもので、
と症状も凶悪(後になって思うと、1時間したらシャットダウンするというのはちとおかしいですが)、HijackThisのログも一番最後に添付しますが、ほとんどのエントリに不正なものが顔を出している凶悪無比のものです。
・ Y氏登場
さしもの回答者陣も苦戦する中、【アダ被の部屋】フォーラムにY氏なる人物の登録がありました。 それからしばらくして、このY氏から僕のところにメールが来ました。
渡りに船、というか願ってもない申し入れであり、速攻でWikiのIDとパスワードを設定して送りました。 翌日、「NazonoXGameZone対策」というWiki文書が作成されました。ただし作成中で中身は一行、
でした。
・ 問題解決!
それからまもなく、質問掲示板の方にX氏の書き込みがありました。
解決しました! 自己解決してしまい、ごめんなさい 今まで、みなさんありがとうございました
ほかにNazonoXGameZoneにかかった人のために解決するためのリンクを残しておきます
http://***.***.***/ngz/ 作成者:Yさん(*注:フォーラム登録した人物と同一人物)
必ずIEの「スクリプトのエラーを表示する」をOFFにしてください ページ移行中ということで、ファイルが足りないらしく、50くらいのスクリプトエラーがでます
ついでに最初の質問文のタイトルも、念の入ったことに、
と変更になってます。
この「解決するためのリンク」先には「手動除去は不可能です」とあり、さらに「好評のため1日1,000ダウンロード限定」と銘打った駆除ファイルのダウンロードリンク(笑)が設置してあります。ただし、実際にクリックすると404で、ファイルのダウンロードに成功した人は今のところいません。
・ マッチポンプ疑惑
僕自身も「なんか不自然だなあ、できすぎてるし」と感じていたのですが、fooさんからも同様の疑問の提示がありました。ママ姐さんからも。すなわち「マッチポンプ」、つまり「質問者X氏と、Wiki作成者および解決サイト管理者であるY氏とは同一人物ではないのか?」という疑惑です。理由は、
(1) あまりにも流れとタイミングができすぎていること。 (2) NazonoXGameZoneをGoogle検索しても、当時一件もひっかからなかったこと (3) 上のお礼の文章もそうですが、あまりにも解決サイトの内部事情に詳しいこと
などが主なものです。(3)については、質問の途中のX氏の書き込みにこんなものがありました
一般の人へのサイトは(閉鎖) http://www.geocities.jp/nazonax/ で、それのコピーが見つかりました http://www.YYYYYY.YYYYY.jp/
・ 疑惑は真実であった
本来、上記の傍証だけでも「X氏=Y氏」と断定できるレベル(特にGoogleで引っかからない点)ですが、その後調査の結果確かに「X氏=Y氏」であるという証拠を得ました。その理由については、悪い人にいらん知識を与えそうなのでここでは書きませんが、とにかく「証拠」と呼べるレベルの情報です。
その後、Y氏に自主撤退の要請メールを送るとともに、Wikiの登録および文書の削除、質問掲示板の当該ツリーの削除を行い、今に至っています。とりあえず今のところは、これですべて終了した形になっています。
・ 目的の考察
では何故この様な手間のかかる、面倒くさいことを実行するに至ったのか。
このY氏のサイトには、「XXXXXPlayer」なる自作のCMS(コンテンツ・マネジメント・システム)とおぼしきものが設置されており、アクセスした瞬間に「Loading」の画面が出て、その後エラーがでてdebug画面がでる仕様でした。
おそらく、Y氏は自サイトへのアクセスを増加させることで この自作CMSを多くの人々に知ってもらいたかったのではないかと推察してます。
・ HijackThisの「感染」ログ
こちらがY氏のサイトで「感染した場合のHijackThisログ」として例に挙げているものです。
本当にこれだけのエントリを出す凶悪なマルウェアを、マッチポンプとはいえ本当に作成したとしたらある意味すごい技術ですが、幻のO5が現れていることや、マルウェアの動作にこれだけのエントリは不要と思われることなどを考えても、九分九厘ログを偽造したものだと考えて良いと思います。おそらくHijackThisログ解析入門を見ながら(笑)
そう思ってエントリを良くみると、プログラムのパスがすべて「C:Program FilesNazonoXeMuleeMule_NGZ.exe」等になっており、「C:Program Files」の後に当然あるべき「\」がありません。これじゃ肝心のexeファイル等に辿り着けない…
ちなみにこの「不具合」の多くは、X氏のログにおいては「改良」されていました。
・ このblogの目的
本来もう解決してますしそのままそっと放置すべきものなのですが、僕自身とても印象深かったので纏めてみました。もちろん、Y氏をこれ以上攻撃するつもりは全くありません。
この方(Mr.X)のアダ被質問掲示板の質問ツリーを リアルタイムで拝見しておりました。「nazono~って きいたことねーなー、検索にもひっかからねーなー」と 思っておりました。 ・・・・・・なっとくしました。 ていうか、同一人物って判明した理由って方に 興味しんしんです。イラン知恵をワタクシにも(^^)。
なるほど。これは確かに【おもろい事件】やわ。 アダ被は、アクセス数が多いし、そういう輩たちには絶好の場なんでしょうねえ。 じっくりと観察・考察すると偽造・偽装って、やっぱりボロがでるんですね(笑)。
にゃははは(何かに使えそうな手ではありますね)
そうですか。 私もおかしいなと思いながらNazonoXに興味をもって 調べていたのですが全く情報がつかめない状態でした。
しかし壮大な自演でしたね・・・。
そういえば昔やったなぁと思ってページを見ました
C:Program Files なのは javascriptでは\は\\と書かなければならないのを忘れていた... しかもアダ被の投稿が先ですよ
アダ被の投稿をコピーしてJavaScriptにしたら...
今、このソフトウェア実際に作っています。難しい... (流出しても使えないように暗号化して起動時にパスワード(30桁以上)聞かれるのでOK→複合 Err→削除)
> Yuki氏
この際ですからハッキリ言っておきますが、 僕はアナタにこのサイトに居着いて欲しいとは全く思ってません。
フォーラムの書き込みは削除しました。 このサイトから去ってもらうことを希望します。
Powered by Movable Type Copyright(C) 2007 Gunjyou All rights reserved.
