寄生虫スパマー(PART 2 OF 3)
What is qttask.exe?
Is qttask.exe spyware or a virus?
This process implements Apple's Quick Time Tray Icon, which enables you to start Quick Time from the System Tray, as well as to perform related functions.
Note: Any malware can be named anything - so you should check where the files of the running processes are located on your disk.
If a "non-Microsoft" .exe file is located in the C:\Windows or C:\Windows\System32 folder, then there is a high risk for a virus, spyware, trojan or worm infection!
Check it out!
オマエの言うことに間違いはない。 しかし、上にも書いてあるようにマルウェアにはどのような名前をつけることもできる。
つまり、オイラが自分のマルウェアに qttask.exe という名前をつけたとデンマンさんは言うのですか?
その通りだよ。 僕はシステムを立ち上げる時に qttask.exe を削除している。 しかも、Quick Time ムービーを、この5年間、僕は見たこともない! それに、上のページの中でも、ユーザーが次のような意見を書いているのだよ!
Some of the Users' Opinions
Belial555
Used to Automatically Launch Quicktime Window When a .Mov Is clicked on in Web Site.
No name
an optional useless auto startup for quicktime player, disable it to save memory.
Nicole
It is very easily infected w/ viruses.
jude
Not dangerous but annoying as hell.
I cant get the damn thing to stay out of my startup!!
TimMac
I know suddenly it appeared in my systray, and I don't have QT installed.
Had to use the syscomfig to disable startup, and edit registry to remove the freaking thing.
Rox
Extremely annoying.
Windows 98 will not shut down when this is running.
Hangs.
Keeps reappearing after removal from msconfig startup.
Prebba
Piece of shit application - memory hogger, always adds itself to the 'Run' section of the registry. Unecessary.
John Topio
Crappy buggy piece of softtware, unfortunatelly installed with quicktime. the program eats more than 2 MB of RAM and it does nothing useful other than send information to apple.com about the movies you are watching. The information is stored in a small log file in your computer and sent in bursts to apple.com in an encripted format.
djigoressie
all of a sudden, this process tries to access my cd-rom drive, when there is NO reason AT ALL.
jj
it auto starts-up and runs 88% of the time according to Task Manager, slows everything down...
Get it out of your system completely as soon as you see it.
Quick Time Task is pure garbage.
It is a hosting body for a wide variety of virus.
Jonathan Allen
I never installed QuickTime and there is no way to uninstall it.
It burns resources and doesn't do anything useful.
SOURCE: "What is qttask.exe?"
上の青字にした部分を見てごらんよ。 qttask.exe は、しばしばウィルスやマルウェアの隠れ場に利用されているのだよ。
デンマンさんは知っていたのですか?
もちろんだよ。 僕は次の記事も読んでいたのだよ!
Spam-sending malware
Recently (April/May 2003), we have been seeing a new type of spam.
It appears to originate on normal Windows computers, sometimes inside corporate firewalls.
We theorize that spam-sending "malware" has been installed accidentally by careless users or even through the exploitation of security holes (cracking).
Thus, these Windows computers suffer yet another "infection".
There appear to be several different types of software, or modes to its operation.
In one mode, it sends directly on port-25 to recipient mailservers.
In another, it uses the Microsoft Outlook proprietary mail-sending protocol to send out via Hotmail mailservers.
This protocol is handled over WebDAV, and the headers will show Hotmail servers using the DAV protocol.
Most common recently, the software (or more likely, its user, the spammer) uses the mailserver provided by your own ISP.
In any case, it leaves little trace as to its origin and is undetectable from the outside.
The only clue is the IP address and the date/time of the occurance.
The real confusion begins when the infected system is part of a network using Network Address Translation (NAT) to proxy connections for internal hosts.
It should be emphasized that some modes of operation bypass outbound mailservers and send directly to the recipient system or via Hotmail's servers.
Blocking port-25 at the firewall can stop the first mode, but it is very difficult to stop the DAV protocol method globally, since that is transmitted over normal port-80 (www) connections.
It is also problematic blocking a system from the mailserver which it is authorized to use - the system can no longer send legitimate mail.
If you have any more information about this problem, please post it in the forum and it will be added to this FAQ. Specifically, it would be nice to bring this malware into "the lab" and figure out its exact operating parameters - how to remove it, how to detect it, and what it does exactly. One theory about how it is controlled - it may poll a secret URL to receive instructions on what spam to send, and who to send it to.
Another theory is that it logs onto a secret IRC channel to receive commands (an tried-and-true control method).
Update:
One possible route of infection may be exploitation of a buffer overflow in Microsoft IIS 5.0.
Microsoft has released a patch to correct this exploit.
Information and links to the patch are available at http://isc.incidents.org/analysis.html?id=183
スパム送信マルウェア
最近(2003年4月-5月)、新たなタイプのスパムが発生しています。
スパムメールは、通常のWindowsコンピュータ上で送信されます。
時には企業のファイアウォールの内部からスパムメールが送信されます。
スパム送信"マルウェア"は不注意なユーザーによって、誤ってインストールされているのです。
あるいはマルウェアをでっち上げた元々のスパマーがセキュリティホールを悪用して故意にインストールしています。
このようにして、これらのWindowsコンピュータは"感染"を広めているのです。
このマルウェアには、いくつかの異なるタイプのソフトウェアがあるようです。
また、操作モードにも、いくつかのタイプがあるようです。
ある操作モードでは、スパムメールは直接受信者側のメールサーバにポート25を利用して送信されます。
また、別の操作モードではMicrosoft Outlookの独自のメール送信プロトコルを使用し、さらにHotmailのメールサーバを経由してスパムメールが送信されます。
このプロトコルは、WebDAV を利用して処理されます。
送信されたスパムメールのヘッダーを見ると DAVプロトコルが使われているのが分かります。
ごく最近では、スパマーは、あなた自身のプロバイダーのメールサーバを使用してスパムメールを送信しています。
いずれの場合も、足跡をほとんど残していません。
だから外側から検出するのが難しい。
唯一の手がかりは、IPアドレスと、スパムメール送信時の日付と時間です。
ただし、感染したシステムが、内部ホストのプロキシ接続のためにネットワークアドレス変換(NAT)を使用しているネットワークの一部であるときには問題がいっそう複雑になります。
また、ある操作モードでは、送信用メールサーバをバイパスし、受信者のシステムに直接、あるいはHotmailのサーバを経由して送信されることがあります。
ファイアウォールでポート25をブロックすると、スパムメールを拒むことができますが、DAVプロトコルを使って送信されたスパムメールを拒むことは極めて難しい。
なぜなら、その場合、通常のポート80(WWW)を介して転送されるからです。
メールサーバからシステムをブロックするのも問題です。
なぜなら、正当なメールが送信できなくなってしまいます。
この問題についての詳しい情報をお持ちの場合は、フォーラムに投稿してください。
そうすれば、この FAQ に追加されます。
もし、このマルウェアを“実験室”で解剖できたらとてもうれしいですね。
そうすれば正確な動作パラメータを把握することができますから。。。
どうしたらマルウェアを検出し、排除することができるか?
具体的にマルウェアは何をしているのか?
そのような事も理解することができます。
このマルウェアは、いったいどのような仕組みでスパムメールを送信しているのでしょうか?
どのスパムメールを送信し、それを誰に送るのかを秘密のURLから指令書をゲットしているのかもしれません。
あるいは、秘密のIRCチャンネルにアクセスすることによって、指令書をゲットしているのかもしれません。
この方法なら、より実証済みの確実な方式かもしれません。
最新情報:
マルウェアが広がっている経路の一つとして考えられるのは、Microsoft IIS 5.0 のバッファオーバーフローの悪用です。
マイクロソフトはこの脆弱性を修正するパッチ(絆創膏ソフト)をリリースしました。
情報とパッチへのリンクは、次のURLへアクセスしてください。
http://isc.incidents.org/analysis.html?id=183
(翻訳: デンマン)
SOURCE: "Spam-sending malware"
デンマンさん。。。お願いだからオイラをネット警察に引き渡さないでくださいよ。
オマエはスパムメールを送り続けるのだろう?!
いや。。。反省しているのですよ。
でも、スリルがあるから、やっぱりスリルを楽しみながら続けるのだろう?
だってぇ、言論の自由・表現の自由があるじゃないですか!
犯罪を犯すのは表現の自由じゃない!
そのような厳しいことを言わないでくださいよ! オイラも真面目人間になりますから。。。
信じられない!
信じてくださいよ。 “信じる者は救われる” という格言もあるでしょう!?
じゃあ、今度だけは大目にみて信じてあげる。 二度と悪い事をするなよ!
わァ〜〜 うれしいなあああァ〜。。。
デンマンさんに信じてもらった。
うれしいなあああァ〜。。。
もうスキップしてしまおう!
ルンルンル〜♪〜ン
ランランラ〜♪〜ン
馬鹿ですよねぇ〜。 ああやってぇ、すぐに信じてしまうのですよね。 うへへへへへ。。。この寄生虫スパマーが反省しているとは、どうしても思えない。 逮捕するのはネット警察に任せるとして、僕はこの男をじっくりと見守りたいと思います。
(すぐ下のページへ続く)