CALENDAR
Sun Mon Tue Wed Thu Fri Sat
   1234
567891011
12131415161718
19202122232425
262728293031 
<< August 2018 >>
SELECTED ENTRIES
CATEGORIES
ARCHIVES
CLOCK
MOBILE
qrcode
PROFILE
RECENT COMMENTS
RECENT TRACKBACK
OTHERS

だめぽブログ

tacoさんの暇つぶしブログ
<< この広告は60日以上更新がないブログに表示されております。 | main | プログラミング言語の件について >>
マルウェア退治(笑)
JUGEMテーマ:コンピュータ


先週、ネットで探し物をしていたのですが、色々めぐりすぎて波のように立ち上がるポップアップウィンドウを閉じつつ FireFox を最小化してデスクトップを表示したところ、デスクトップが「(多分英語で)スパイウェアが見つかりました!」的なダイアログボックス風の壁紙にすり替えられてしまいました。。。

まあ自分のPCの壁紙が勝手に変えられたっていうことは、多少なりとも乗っ取られたなと、ウィルスを覚悟したんですが、なんかトンデモないものを踏んだようで、多分10種類以上のウィルスやらスパイウェアやらマルウェアが投下されてしまいました。。。

ちなみにエロサイト巡回中ではありません!!!(ここ強調)



●主な症状
- デスクトップの壁紙が替えられる
- デスクトップの背景を変更できないようにポリシーを変更される
- 韓国製の ActiveX がインストールされる(症状不明)
- Symantec.com や Trendmicro.com などのセキュリティ対策系のソフトウェアベンダ、Windows Update、Microsoft のサポートページなどのサイトに繋がらなくなる (127.0.0.1 につなぎに行くんだが、Hosts は変更された形跡なし)
- メモ帳 (Notepad.exe) のメニューがぶっ壊れる
- File Monitor (Filemon.exe) が機能しなくなる
- IE、FireFox で閲覧したページのヘッダに変なスクリプトを埋め込まれる(analitic-checks.google.com)



いっそ HDD フォーマットして OS ごと入れなおそうかと思い悩んだんですが、色々と未練のあるファイルもあるので(ちなみにエロではありません!!!←強調)、必死で解決策を探しまくりました。
というわけで一週間かかりましたがなんとか直ったんですけども、どうやって直ったのかはよくわかりません><


とりあえず壁紙戻したい

レジストリのどっか(失念、ぐぐれ)をいじる

ついでに HKLM、HKCU の Windows¥CurrntVersion¥Run を調べて適当に消す

Temp フォルダにウイルスらしき本体発見

削除したけど Symantec.com とかにつながらない

IEのソースを表示すると変なコードが埋め込まれていることが判明

更にメモ帳のメニューがぶっ壊れてることも判明

「ドラえも〜〜〜ん!!!」

ジャジャーン!! 「Filemon.exeぇ〜」

Filemon うごかねー!!!

Administrators グループ以外のユーザーだと上記の症状が何も起きないことも判明

でも Administrators じゃないと Filemon うごかねー!!!

セーフモードで全サービス止めたりいろいろする

よくわからんが Symantec.com とかには繋がるようになった

「Malwarebytes' Anti-Malware」というソフトがいいらしい!!!

駆除成功!!!


ぶっちゃけ一週間かかりましたよと。。。
Filemon が動かないとか痛すぎるでしょ普通に考えて。。。


tdssserv.sys、tdssadw.dll、tdssinit.dll などなどが本体だったらしいんですが、ファイル名から察するにOSと一緒にドライバとして起動してたのかな?よくわからんが。
で、インターネットの偽ゲートウェイ的な役割をしつつコードを埋めたり、セキュリティ系のサイトに繋がらないようにしてたってことかな?
Filemon.exe を動かないようにしたり Notepad.exe のメニューぶっ壊したりとかww?


まあこういうトラブルというのは出来るだけ避けて通りたいわけなんですけども、色々と勉強になりますよね。特においらみたいに事が起きないと動かない人にとっては格好の危機対策向上材料だったり、コンピューターのお勉強の素材だったりするわけでして。。


特に Hosts が修正されていないにもかかわらず、あらゆるセキュリティサイトに飛べないことから ARP Spoofing の一種か何かかと想像を掻き立てられつつ、パケットキャプチャソフトなんか使った時には気分はもう IT スペシャリストなわけですよ。


でも 「実行しなければどうということはない!」というおいらの神話は都市伝説に格下げになりました。
ADODB.Stream の脆弱性でしょうか?ページ開いただけで感染してしまいました(´;ω;`)
しかも FireFox だったんですが。。。
神話が二つも崩れ去りました。。。




困ってる人も居るかと思って適当ながら愚痴程度にまとめてみました( ´∀`)
| Posted by tacoさん | 23:15 | comments(0) | trackbacks(1) |
スポンサーサイト
| Posted by スポンサードリンク | 23:15 | - | - |









http://invalid.jugem.jp/trackback/37
北朝鮮がスパイ活動にマルウェア活用か
 北朝鮮が韓国の軍事機密を盗む目的でマルウェアや女性スパイを使っているという。セキュリティ企業Sophosの研究者が韓国や英国などの報道を引用して9月2日のブログで伝えた。 グラハム・クルーリー氏のブログによると、韓国軍司令部の当局者に対し、北朝鮮の電子戦争
| ニュースヘッドライン | 2008/09/03 7:51 PM |