マルウェア感染…新サイトへ

なんだか久しぶりにマルウェア(アドウェアっぽいんですけど情報が少なくてウィルス系統と区別がつかないので総称にしておきます)に感染しました｡それもかなりしつこい｡

事の起こりはXPでのavast!の感染警報｡"Document and settings\[user]\Local settings\Temp\XXXXXはウィルスに感染しています"(うろ覚え)

感染したのは"Win32:Adware-gen.[Adw]"と"Win32:Trojan-gen.{Other}"｡一応駆除してみたのだがなんだかおかしい｡

突然起動中のFirefoxに"WinAntiVirus Pro 2006"の広告が現れたり(知ってはいたもののまさか実際に見ることとなるとは)､

IEが立ち上がって"ttp://89.188.16.10/trafc-2/rfe.php?...."とかいうweb page(実際にはつながらないみたいです)を表示し始めたり(しかも今見ていたウェブページのURIが引数にくっついていたり...)｡

まず手始めに現在動いているプロセスの解析｡これには"Process Explorer"というソフトが結構活躍｡(タスクマネージャーと入れ替えられるので便利｡昔のPCでは使ってたのですが今のには入れてなかった｡ついでにMS社に統合されてしまっていたのも驚き)｡怪しいプロセスは動いていないように見えたが､(見えただけ)一応いらないものは終了しておく｡

次にスタートアップ｡これは"SSGuardian"というソフトが便利だと感じたが(msconfig(システム構成ユーティリティー)でもいいですが)､これは何でもいい｡怪しそうなのとかいらないもの(各種アップデート機能とか)を削除｡

SpybotやAd-Awareでもチェックしておく｡ただ見つかるのは関係なさそうなcookieとかばかり｡決定的なものはない｡

こうしているうちに何度か再起動をかけてみるがそのたびにTempフォルダ内のマルウェアが復活している｡

デュアルブート(実際にはトリプル)している別のOSで立ち上げたり､セーフモードにしたりしてTempフォルダ内を削除してみるも全くの無駄｡

しばらくして思いついたのでWindowsフォルダ内のsystem32フォルダをチェック｡更新日時順に並べて......

あった!!

十数ファイルだけやけに更新日時が最近だ｡ランダムな英数字+.dllの奴ら｡システムが破壊されることも考えたが､どっちにしろ駆除できなかったらリカバリしかないので､こいつらを別のフォルダに移動｡(orファイル名変更) パスを変えてやればこいつらは起動できないはずだ｡

というわけで意気揚々とXPを起動｡システムの復元とかで戻されないかとも思ったが､戻されていない｡Tempフォルダにも怪しいやつはいない｡変なページも立ち上がらない｡たぶん駆除成功.

という訳で現在この文章を書いているわけです｡

今思ってみれば navsvc.exe とかいうプロセスが悪者だったのです｡(たぶん) 最初の方にシステム系のプロセスかなあと思って見過ごしていたのが原因でした｡ググってみてもほとんど情報が見つからないし...

マルウェア対策って大切だなあって思うこの頃です｡

##################################################

さて全く関係ない話なのですがエンジニア★流星群 ＠Ｔｅｃｈ総研の理系の人々って漫画がおもしろい｡というか90%当てはまってしまう私は何なんでしょう｡(飲み会云々は無関係ですが)壊れた電化製品は直せるわけでもないのに分解してしまうとか･･･