SafeSpace Vundoとゼロデイアタックを受けても問題なしの結果

Safespaceを導入したパソコンでマルウェアVundoを実行し、次にゼロデイアタックを受けた直後のパソコンの状態をカスペルスキーオンラインスキャンで検査した結果をご覧頂いたと思います。

果たしてあの状態からWindowsを再起動し本当に実行前の状態へとリストアされパソコンウイルスから無害化の状態へとなるのかどうかをご覧ください

この状態でWindowsを再起動し、仮想化された領域で感染したパソコンウイルスをリストア（クリア）可能かを試して見ました所。以下の様に全てリストア可能でした。

一応SSの保護を無効にして再起動及び検査しても問題無し。
クリーンな状態かを判断頂く資料と致しましてHijackThisとカスペルスキー検査結果の詳細をそれぞれご用意しております。

SafeSpace搭載パソコンでVundoとゼロデイアタックを受けても問題なしの結果。
注意事項としましては、SafeSpace保護モードにあるブラウザから取得したウイルス、及び保護モードにあるブラウザもしくはアプリケーションによるゼロデイ攻撃を受けた場合は以下の様に再起動後リストアされます。

カスペルスキーオンラインスキャナレポート
2008年3月31日 13:49:32
OS: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
カスペルスキーオンラインスキャナバージョン: 5.0.98.0
データベースの最終アップデート: 31/03/2008
データベースのレコード: 673869
スキャン設定:
スキャンでは次のデータベースを使用します: 拡張
アーカイブのスキャン: はい
メールベースのファイル: はい

スキャン対象 - マイコンピュータ:
C:\
D:\
Z:\

スキャン統計:
スキャンしたオブジェクトの総数: 17549
検知されたウイルス: 0
感染したオブジェクト: 0
疑わしいオブジェクト: 0
スキャンの所要時間: 00:12:18

感染オブジェクト名 / ウイルス名 / 前回の処理
C:\Documents and Settings\All Users\Application Data\Artificial Dynamics\VIRTUAL\RegHive ロックされていますスキップ
C:\Documents and Settings\All Users\Application Data\Artificial Dynamics\VIRTUAL\RegHive.LOG ロックされていますスキップ
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされていますスキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされていますスキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされていますスキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされていますスキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされていますスキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされていますスキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされていますスキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされていますスキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされていますスキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされていますスキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされていますスキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされていますスキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされていますスキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされていますスキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされていますスキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされていますスキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008033120080401\index.dat ロックされていますスキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされていますスキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされていますスキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされていますスキップ
C:\RETURNIL\RVSYSTEM.IMG ロックされていますスキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされていますスキップ
C:\WINDOWS\SchedLgU.Txt ロックされていますスキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされていますスキップ
C:\WINDOWS\Sti_Trace.log ロックされていますスキップ
C:\WINDOWS\system32\CatRoot2\edb.log ロックされていますスキップ
C:\WINDOWS\system32\CatRoot2\tmp.edb ロックされていますスキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされていますスキップ
C:\WINDOWS\system32\config\default ロックされていますスキップ
C:\WINDOWS\system32\config\default.LOG ロックされていますスキップ
C:\WINDOWS\system32\config\SAM ロックされていますスキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされていますスキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされていますスキップ
C:\WINDOWS\system32\config\SECURITY ロックされていますスキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされていますスキップ
C:\WINDOWS\system32\config\software ロックされていますスキップ
C:\WINDOWS\system32\config\software.LOG ロックされていますスキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされていますスキップ
C:\WINDOWS\system32\config\system ロックされていますスキップ
C:\WINDOWS\system32\config\system.LOG ロックされていますスキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされていますスキップ
C:\WINDOWS\system32\h323log.txt ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされていますスキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされていますスキップ
C:\WINDOWS\wiadebug.log ロックされていますスキップ
C:\WINDOWS\wiaservc.log ロックされていますスキップ
C:\WINDOWS\WindowsUpdate.log ロックされていますスキップ
Z:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ

スキャンプロセスは完了しました。

カスペルスキーオンラインスキャン結果はここまで。全てリストアされてます。

hijackthisの検査結果
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:31, on 2008/03/31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Artificial Dynamics\SafeSpace\LauncherService.exe
C:\Program Files\Artificial Dynamics\SafeSpace\SafeSpace_Agent.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Returnil\Returnil.exe
C:\Program Files\Artificial Dynamics\SafeSpace\SafeSpaceSysTray.exe
C:\Program Files\Artificial Dynamics\SafeSpace\WaveFramer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TechSmith\Jing\Jing.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Rvsystem] C:\PROGRA~1\Returnil\Returnil.exe
O4 - HKLM\..\Run: [SafeSpace] C:\Program Files\Artificial Dynamics\SafeSpace\SafeSpaceSysTray.exe
O4 - HKLM\..\Run: [WaveFramer] C:\Program Files\Artificial Dynamics\SafeSpace\WaveFramer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jing] C:\Program Files\TechSmith\Jing\Jing.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189172021702
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B8D6DB6-FD24-40DD-8C0F-5CDFACD8C89B}: NameServer = 202.238.95.24,202.238.95.26
O20 - AppInit_DLLs: AS_WAVEHook.dll
O23 - Service: Artificial Dynamics SafeSpace Agent - Unknown owner - C:\Program Files\Artificial Dynamics\SafeSpace\SafeSpace_Agent.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Artificial Dynamics WAVE Launcher Service (WAVE Launcher Service) - Artificial Dynamics Ltd. - C:\Program Files\Artificial Dynamics\SafeSpace\LauncherService.exe

End of file - 3557 bytes

hijackthisによる検査結果も全く問題点はありません。

前に述べました様にSafeSpace有効時以下のパスはロックされているので保護モードにないアプリケーションで誤ってウイルスを実行してもシステムへの本感染へとは至ることはまれ
c:\program file
c:\windows
c:\Documents and Settings\All Users
c:\Documents and Settings\*\Local Settings
c:\Documents and Settings\*\Application Data

無料で安全安心インターネット運用したいならsafespaceで決まりですね。

▲ページトップへもどる

スポンサードリンク

Subscribe in a reader