タグ別アーカイブ: Malwarebytes’ Anti-Malware

21. Malwarebytes’ Anti-Malware 結果編

私の不安をよそにすばらしい成果です。
「Malwarebytes’ Anti-Malware」の驚きの性能に脱帽です。

「Malwarebytes’ Anti-Malware」のログファイル「mbam-log-****-**-** (**-**-**).txt」を見てみます。

レジストリキー、データアイテム、ファイル、が感染しています。

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 10

2つのレジストリキーを隔離し削除しました。

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

2つのデータアイテムを隔離し削除しました。

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

10のファイルをリブート時に削除します。

Files Infected:
C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS8669.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS89e3.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Delete on reboot.

SDFixで残っていた「TDSSoiqh.dll」も削除することになっています。
SDFixで削除したとしていた「TDSSmqlt.sys 」も削除することになっています。

今回はかなり楽観的に処理結果の確認を行えます。
(1)カスペルスキーの更新はOKです(既済)
(2)AVGなどのアンチウィルス会社のHPは参照できます(既済)
(3)以前作成した「TDSS.txt」が表示されています
(4)別のフォルダで「TDSS.txt」を作成しますが消えません。
(5)カスペルスキーを起動しますがフィッシングサイトへのアクセスはありません

完了です。
元に戻った感じがします。

IE7で重たかったサイトに繰り返しアクセスします。
もとのIE7のレスポンスに戻りました。
firefoxは快調です。

終わった感じがしました。

2008年12月22日 14:53:21

20. Malwarebytes’ Anti-Malware 処理編

「SDFix」はブート時もしくはセーフモードのWindowsXPという環境でrootkitを駆除するしくみのようなので、私にも理解しやすいrootkit駆除ソフトです。
ところが、「Malwarebytes’ Anti-Malware」はよく判りませんがWindowsXPの通常稼動でrootkitを検知し駆除するソフトのようです。

「Malwarebytes’ Anti-Malware」はコントロールパネルの「プログラムの追加と削除」の対象となるようなソフトウェアのインストールです。ダウンロードした「mbam-setup.exe」を実行します。
セットアップウィザードを順当にすすめ、途中の「update Malwarebytes’ Anti-Malware」のチェックを確認してインストールを完了します。

(1)インストールによって作成されたアイコンをクリックして「Malwarebytes’ Anti-Malware」を起動します。
(2)「Scanner」タブで、「Perform quick scan」でスキャンを開始します。
(3)途中で、エラーコード 731のダイアログボックスが表示され不安になります。
(4)何事のなかったかのように、5分強でスキャンが完了します。
(4)「Show Results」 ボタンをクリックしてスキャン結果を表示します。
(5)表示されたスキャン結果には、見覚えのある「TDSS」のファイルやレジストリが赤文字で表示されています。これらのチェックボックスがずべてonになっていることを確認して「Remove Selected」 ボタンクリックして削除します。
(6)「5つのファイルが削除できないのでリブート時に削除する」というメッセージが出てリブートを促されます。
(7)「Malwarebytes’ Anti-Malware」のログファイルが 表示されます。
(8)ログファイルを閉じて再起動します。

再起動を含め10分程度です。
rootkitの奥深さから考えると「Malwarebytes’ Anti-Malware」の処理方法と処理時間には不安がありますが、一応完了しました。

2008年12月22日 14:22:07

19. SDFix 再結果編

さきほど残った「TDSSoiqh.dll」がうまく削除されていることを願いつつ、新しく作成された「Report.txt」を開きます。

予想に反して、まったく別の展開になっていました。

[b]Name [/b]:
TDSSserv.sys

[b]Path [/b]:
\systemroot\system32\drivers\TDSSmqlt.sys

TDSSserv.sys – Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\drivers\TDSSmqlt.sys – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVD.dat – Deleted

「TDSSoiqh.dll」については、まったく触れられていません。しかし、TDSSの核になる名前「TDSSserv.sys」が出てきました。
そしてよくわかりませんが、関係するファイルを削除し、削除できなかったファイルがないようです。

このあと、相当量のレジストリに関するメッセージが出力されます。

scanning hidden services & system hive …

scanning hidden registry entries …

そして、

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

さらに、

[b]Remaining Services [/b]:

[b]Remaining Files [/b]:

の後には記載がありません。
最後に、

[b]Finished![/b]

予想していた展開とは違いますが、なんかうまくいったように見えます。

さて、確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

前回から進歩がありません。

確認のため「regedit」を使ってTDSSを検索してみます。すると、なにやら「TDSS系」レジストリがいくつかあります。中にはTDSSserv.sys」まで検索されました。いままではレジストリの検索でも引っかからなかった「TDSS」ですが、SDFixにより表に出てきたという感じです。「TDSSserv.sys」のレジストリキーを思い切って削除してみましたが、「regedit」にダメだといわれました。

結構いいところまでいったつもりでしたが、新たに出現した次の障壁にぶつかったようでした。ここでSDFixのつぎの手として「Malwarebytes’ Anti-Malware」に出動を要請することにしました。

2008年12月22日 14:00:07

15. 完全に駆除しました

完全に駆除しました。
終了です。
長かったです。

さて、ここからは完全にきれいになったパソコンからrootkitを駆除した手順を記します。

SDFix、Malwarebytes’ Anti-Malware、ComboFix、をダウンロードして準備します。
実際は、SDFix、Malwarebytes’ Anti-Malwareの2つで駆除できましたのでこの2つをダウンロードして準備します。

ここからは、以下のサイトを参考にさせていただきました

AndyManchesta
(セキュリティツールに関する情報がたくさんありました)
http://andymanchesta.com/

被害対策.com
(いわゆるもと「アダ被」です)
http://www.higaitaisaku.com/

SDFix(SDFix.exe)のダウンロード
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm

Malwarebytes’ Anti-Malware(mbam-setup.exe)のダウンロード
http://www.malwarebytes.org/index.php
ダウンロードサイトは
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

今回は、ここのツールをダウンロードして使いました。
しかし、かなり強力なセキュリティツールですから今後利用される方はくれぐれもセキュリティに配慮してダウンロードおよび利用してください。

2008年12月22日 10:54:08

14. rootkitの恐ろしさ

ステルス状態にありますから、私たち人間はその存在を確認することが出来ません。これはWindowsXPを通して動作するアンチウィルスソフトも同じようです。
WindowsXP上では、ウィルスの存在が確認できませんから、ウォルス検知が出来ませんし、駆除することも出来ません。
アンチウィルスソフトでは、rootkitを派遣駆除することが出来ないことがわかりました。

では、どうすればよいか調べました。
すでに先人たちがいろいろな経験と情報を残してくれています。

rootkit駆除ソフトにも相性があるようです。
侵されているウィルス、パソコン環境、などにより簡単に出来たり手こずったり、あるいはウィルス駆除がうまくいったりいかなかったり、と様々なようです。これらの情報の中から、信頼されて広く使われており、操作が簡単なものを選んでみました。

そういう視点で私が選んだのは
SDFix、Malwarebytes’ Anti-Malware、ComboFix、でした。

さて、これをはじめることとします。

2008年12月21日 18:19:31