« 第57回IWCウルサン会議始まる | トップページ | 物まねは何故「こんばんは」から始まるのか »

2005年6月 3日 (金曜日)

間違いない、木馬だ!

仕事中「Ζガンダム観に行きたいなー」とか考えながらまったりスパムメールの整理でもしていたら、社長宛のアドレスに「件名なし/本文なし/添付ファイル一つ」のあからさまに怪しいメールを発見。

取り敢えず問題のメールから添付のZIPファイルを取り出し、Norton AntiVirusでスキャン。異常なし。ダブルクリックで解凍すると今度はEXEファイルが。再びスキャン。やはり異常なし。「取引先があわてて何か送ってきたんだろう」と考えて実行したら―――

 

ガリガリガリガリガリ……‥(ハードディスクが何かを削除中)

 

「わあああぁあぁぁっ!!!」思いっきり慌てた ○| ̄|_

かかったのはこれの亜種。(トロイの)木馬です。

いや、すごいね!瞬く間にNorton AntiVirus関連のファイルを削除。プロセスを見ても何が悪さをしているかさっぱり分からない。取り敢えず、NICを抜いて片っ端からサービスを停止、再起動。案の定Norton先生(Ghostも)は起動せず。しようがないからSymantec Security Checkでも使うかと考え、アクセスするも繋がらず。

  • セキュリティプログラムに関連するファイルを削除する。
  • Hosts ファイルを改ざんする。
  • セキュリティ関連プログラムのプロセスを停止する、セキュリティ関連プログラムに属するレジストリエントリを削除する、複数のセキュリティ関連 Web サイトへのアクセスを遮断する。
  • explorer.exe プロセスを発見して、wiwshost.exe を挿入しようとします。トロイの木馬によるこれ以降の操作はすべて wiwshost.exe によって実行されますが、一見すると、explorer.exe によって実行されているように見えます。

素人じゃ到底分からない練達ぶり。該当ウイルスを特定するのに丸1日かかりました。(お陰で仕事も進まねー、課題提出期限が近いのに手が付けられねぇ)

何とか、駆除ツールとNorton先生の再インストール&LiveUpdate&スキャンで完全復帰しました。皆さんもお気を付けくださいね。

 

ちなみに、バックドアから送り込まれたと思われる「firewall_anti.exe」というファイルがWindowsフォルダ内に作られていました。Windows FireWallを無効にするプログラムのようです。

もう一つ。最初のスキャンに引っかからなかったのはウイルス定義ファイルが最新でなかったから。そりゃ前日に出回ったばかりのものには対応していないよね… 。・゜゜・(>_<)・゜゜・。

|

« 第57回IWCウルサン会議始まる | トップページ | 物まねは何故「こんばんは」から始まるのか »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/68407/4387112

この記事へのトラックバック一覧です: 間違いない、木馬だ!:

« 第57回IWCウルサン会議始まる | トップページ | 物まねは何故「こんばんは」から始まるのか »