2006.04.02
先日、スパイウェアにやられました。
恥ずかしながら不肖この猫目、
職業柄そんなものの対策も心構えも十分出来ているつもりでしたが、
引っ掛かってしまっては後の祭。
後学の為にも、覚書を残しておこうと思います。
<環境>
OS:WinXP SP2
Browser:IE6.0(Sleipnir)
Anti-Virus Software:Symantec AntiVirus 9.0
始まりは、とあるBBSのリンクを踏み、アダルトサイトが表示されたこと。
「ありゃ」(←危機感ゼロ)
正確には表示し切っていない状態で、IEは延々読込み中表示。
暫く(1分くらい?)待つも、ページ表示は完了せず。
仕舞いにはマシン動作も遅延、ハング気味となり、どうしたものかと思っていたら、
唐突に、Symantec AntiVirus の警告ダイアログ。
"ウイルス:mssearchnet.exe (略)~削除しました"
「…!?」
が、2chで気になる以下の記述を発見。
「復活されました、(>д<) "SpyFalcon"と連携してるやつが残ってたようです。
"SpyFalcon"自身があると言っているもの
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldE15A.tmp<実際は無し>
"BitDefender 8" が見つけたもの
1 C:\WINDOWS\system32\nvctrl.exeSuspect Generic.Malware.Ssp.8EC8B966
2 C:\WINDOWS\system32\ginuerep.dllInfected Trojan.Spyfal.A
3 C:\WINDOWS\system32\1024\ldBA6B.tmpSuspect BehavesLike:Trojan.Downloader
4 C:\WINDOWS\system32\1024\ld322C.tmpInfected Dropped:Trojan.Spyfal.A
3と4は、2が作り出す?場合によってファイル名が違うかも
後に、こっちで出てました↓
C:\WINDOWS\system32\hpC76C.tmp
C:\WINDOWS\system32\ldF50D.tmp
C:\WINDOWS\system32\CONFIG.TMP (これは違うかも)
2が生き残っていると、タスクトレイに点滅するアイコンが表示されていますが、
アイコン無しの状態から、かってにSpyFalcon本体をダウンロード&インストールされて
元に戻ってしまいました。注意して全部いっきに消す必要があるようです。
削除には、フリーソフトの"Unlocker"を使用しました。(今度こそ大丈夫、たぶん…、きっと…) 」
参考:【怖い!】ウィルスetc___にやられた体験(Log)
…これわマズいかも(・・;;;)。
取り敢えず、上記ソースをテキスト保存し、LANケーブルを抜いて再起動。
再起動後、デスクトップに「Security何とか」という、見慣れぬアイコンが二つ。
スタートメニューにも勝手に登録され、プログラムファイルにも存在する模様。
どうもこいつは、ファイル削除をしても、部品が残っていれば
勝手にネット接続して自分自身をDL&修復してしまうらしい。
仕方ないので、セーフモードで再起動(起動中にF8連打!)し、
以下の方法で修復を試みました。
1)ファイル削除
これは、上述の情報にパスが書いてあったので当該ファイルを削除。
同時に、タイムスタンプでローカルドライブを検索し、
時刻が近い怪しげなもの全てを削除(~.tmpやキャッシュ類)。
(↑サイトの閲覧が最後に行った操作である為、比較的容易に見つかりました。)
これがその時削除したファイルども。
2)レジストリの復旧
レジストリエディタを起動(「ファイル名を指定して実行」→"regedit")し、
1)で削除したファイル名全てで検索。
見つかったキーを一つ一つ削除。
…あるわあるわ(12,3個?)
3)ドライブの全スキャン
Symantec AntiVirus にて、ローカルドライブの全スキャン実施。
4)SpyBot導入、全スキャン
SpyBotという、スパイウェア専用の対策&除去ツールがあります。
(リンク:無料情報サイト「Enchanting Sky」)
再起動後、ネットに接続、上記をダウンロードしてインストールし、
全スキャンして怪しげなレジストリ類を削除しました。
…自宅のマシンには全て導入済みだったんですが、
持ってきたこのマシンには入れるのを失念してました。
以上の操作により、マシンは正常に復しました。
所要時間約2時間半。
レジストリのバックアップを取り、ようやく寝ることが出来ました。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
と、いうことで、
教訓:
・怪しげなサイトには近寄らない。
・セキュリティソフトを信用し過ぎない。
・踏んじゃったら即座に対処。
こんなトコですか。
この間抜けな体験が何かの参考になれば重畳です。
恥ずかしながら不肖この猫目、
職業柄そんなものの対策も心構えも十分出来ているつもりでしたが、
引っ掛かってしまっては後の祭。
後学の為にも、覚書を残しておこうと思います。
<環境>
OS:WinXP SP2
Browser:IE6.0(Sleipnir)
Anti-Virus Software:Symantec AntiVirus 9.0
始まりは、とあるBBSのリンクを踏み、アダルトサイトが表示されたこと。
「ありゃ」(←危機感ゼロ)
正確には表示し切っていない状態で、IEは延々読込み中表示。
暫く(1分くらい?)待つも、ページ表示は完了せず。
仕舞いにはマシン動作も遅延、ハング気味となり、どうしたものかと思っていたら、
唐突に、Symantec AntiVirus の警告ダイアログ。
"ウイルス:mssearchnet.exe (略)~削除しました"
「…!?」
 | …即座に、「mssearchnet.exe」でググる。 「トロイの木馬に分類されるハイジャッカ / ダウンローダ」とある。 削除すれば安心だとか。 |
が、2chで気になる以下の記述を発見。
「復活されました、(>д<) "SpyFalcon"と連携してるやつが残ってたようです。
"SpyFalcon"自身があると言っているもの
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldE15A.tmp<実際は無し>
"BitDefender 8" が見つけたもの
1 C:\WINDOWS\system32\nvctrl.exeSuspect Generic.Malware.Ssp.8EC8B966
2 C:\WINDOWS\system32\ginuerep.dllInfected Trojan.Spyfal.A
3 C:\WINDOWS\system32\1024\ldBA6B.tmpSuspect BehavesLike:Trojan.Downloader
4 C:\WINDOWS\system32\1024\ld322C.tmpInfected Dropped:Trojan.Spyfal.A
3と4は、2が作り出す?場合によってファイル名が違うかも
後に、こっちで出てました↓
C:\WINDOWS\system32\hpC76C.tmp
C:\WINDOWS\system32\ldF50D.tmp
C:\WINDOWS\system32\CONFIG.TMP (これは違うかも)
2が生き残っていると、タスクトレイに点滅するアイコンが表示されていますが、
アイコン無しの状態から、かってにSpyFalcon本体をダウンロード&インストールされて
元に戻ってしまいました。注意して全部いっきに消す必要があるようです。
削除には、フリーソフトの"Unlocker"を使用しました。(今度こそ大丈夫、たぶん…、きっと…) 」
参考:【怖い!】ウィルスetc___にやられた体験(Log)
…これわマズいかも(・・;;;)。
取り敢えず、上記ソースをテキスト保存し、LANケーブルを抜いて再起動。
再起動後、デスクトップに「Security何とか」という、見慣れぬアイコンが二つ。
スタートメニューにも勝手に登録され、プログラムファイルにも存在する模様。
どうもこいつは、ファイル削除をしても、部品が残っていれば
勝手にネット接続して自分自身をDL&修復してしまうらしい。
仕方ないので、セーフモードで再起動(起動中にF8連打!)し、
以下の方法で修復を試みました。
1)ファイル削除
これは、上述の情報にパスが書いてあったので当該ファイルを削除。
同時に、タイムスタンプでローカルドライブを検索し、
時刻が近い怪しげなもの全てを削除(~.tmpやキャッシュ類)。
(↑サイトの閲覧が最後に行った操作である為、比較的容易に見つかりました。)
これがその時削除したファイルども。
 |
| 御丁寧にアイコンまで… |
2)レジストリの復旧
レジストリエディタを起動(「ファイル名を指定して実行」→"regedit")し、
1)で削除したファイル名全てで検索。
見つかったキーを一つ一つ削除。
…あるわあるわ(12,3個?)
3)ドライブの全スキャン
Symantec AntiVirus にて、ローカルドライブの全スキャン実施。
4)SpyBot導入、全スキャン
SpyBotという、スパイウェア専用の対策&除去ツールがあります。
(リンク:無料情報サイト「Enchanting Sky」)
再起動後、ネットに接続、上記をダウンロードしてインストールし、
全スキャンして怪しげなレジストリ類を削除しました。
…自宅のマシンには全て導入済みだったんですが、
持ってきたこのマシンには入れるのを失念してました。
以上の操作により、マシンは正常に復しました。
所要時間約2時間半。
レジストリのバックアップを取り、ようやく寝ることが出来ました。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
と、いうことで、
教訓:
・怪しげなサイトには近寄らない。
・セキュリティソフトを信用し過ぎない。
・踏んじゃったら即座に対処。
こんなトコですか。
この間抜けな体験が何かの参考になれば重畳です。
PR
●この記事にコメントする
●この記事へのトラックバック
忍者ブログ [PR]