22. おそろしや rootkit

このパソコンにはたくさんのウィルスメールが送られてきます。いろいろなサイトも積極的にアクセスします。有償・無償をふくめいろいろなアンチウィルスソフトを渡り歩いています。

ウィルスに感染しそうになることは何度もありましたが、水際でアンチウィルスソフトが止めてくれました。自分でも危なそうなサイトやメールは避けてきたつもりです。

いままで大過なく過ごしてきました。

ところが今回奈落の底へ落とされました。

当初は、ウォルス感染の自覚症状はありませんでした。むしろWindowsXPの不調を考えていました。
日がたつにつれておかしいと感じいろいろと調べ始めます。
ウィルス情報を中心に調べますが、抽象的な現象からウィルスを調べることがいかに困難かを思い知ることになります。
検索過程で出会う「名もなき同士」が赤子のような扱いを受けていたことには忸怩たる思いもありました。
アンチウィルス会社も「そのような事例は把握していない」というつれないものばかりです。私も確信がないことから「本サイトとの情報を参考にしてください」とメールするのが関の山でした。

ふたを開けてみれば、一部では有名なrootkitでした。
このrootkitはウィルスと呼ぶにはあまりに強力なものでした。
rootkitがいかに強敵であるかは今回のブログでご紹介できたと思います。

みなさんのお役に立てることを願っています。

2008年12月22日 15:19:18

22. おそろしや rootkit」への1件のフィードバック

  1. akr

    bonzo様

    はじめまして。
    こちらのブログ記事にて救済された一人のakrと申します。
    ありがとうございました。

    長文になりますが、少しでも多くの方が救われることを願い書き込ませていただきます。

    今までトレンドマイクロ社のウイルスバスターでウィルス対策を行っており、自分の中では十分と思い込んでおりました。
    しかし、先日よりパソコンの動作が非常に重く、タスクを確認するとspoolsvがCPU使用率100%になっていました・・・
    「やられた!」と思ったときにはすでに遅し。各ドライブのルートには、隠しファイルでAutorun.infやら、そこから隠しフォルダ内のboot.comを実行しているわで。

    何年もPCを使っていますし、何度か危ない橋(危ないウィルス)も踏んできましたので、諸悪の根源は分からないもののDownloderの類ですでに複数のウィルスに感染いていることは想像がつきました。
    別のPCでネットを使って情報を集めるも、亜種のためか完全に合致する情報も見当たらず、完全駆除までの道のりは険しいものと感じていました。

    まず、kavo系かvundo系の亜種に感染していることは明らかなので、セーフモード起動でレジストリを検索し、spoolsv経由で呼び出している怪しいdllを削除。合わせてTEMPフォルダに生成された怪しいdllを削除。
    そのほかSymantecのオンラインスキャンで見つかったファイルwkgszvx.exe[Trojan-Downloader.Win32.Agent.aukz]とレジストリ内の該当する記述を削除。
    さらに
    http://firefoxmobile.co.uk/ja/virus-removal/14/how-to-remove-mtn5goolews-and-popupadvnet-popup-virus/
    からFixIEDef.exe、SymantecからTrojan.Vundo Removal Toolをダウンロードし実行。
    ちなみにウィルスの仕業かIEからはSymantecのページに繋がらないので、FireFoxを使えば行けました
    (途中経過は必死だったので詳細を覚えていません^^; 申し訳ないです)

    で、ここまででDownloder系のウィルスの活動は止められたかなと思ったのですが、IEでもFireFoxでもmtn5.goole.wsもしくはpopup.adv.netからのポップアップが・・・
    Windows Update に繋がらなくされていたり、システムの復元も動かない。いまだに細工が残されているのか。
    かなりしつこい・・・

    と、そのときにこちらのサイトが見つかり、Malwarebytes’ Anti-Malwareを試してみることに。
    Trojan.Vundo.H、Trojan.DNSChanger、Trojan.TDSS、Trojan.Agentが検出されました。検出されたものはすべて削除。

    結果バッチリ駆除&レジストリの改変も修復できたようです!その後、快適に使用できています。

    rootkitと呼ばれるものなのかは分りませんが、非常に強力でタチの悪いものを踏んでしまったようです。
    しかしながら、こちらのブログのおかげで本当に助かりました。
    ありがとうございました。

    ちなみに、諸悪の根源はとある実行ファイル(自己解凍のCABファイル)に仕込まれていたdownloader.exeだと思われます。
    これはウイルスバスター2008、NOD32、Symantecのオンラインスキャンでも検出できませんでした。被害拡大が予想されるので怪しい実行フィルには気をつけましょう!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です