Moving & Action
感動と行動を喚起する経営コンサルタント

システムエンジニア歴10年の中小企業診断士が
地元 福岡、佐賀、九州の
頑張っている企業と
起業を目指す方を全力で支援します!

代表 菊池 哲
RECENT ENTRIES
ARCHIVES
CATEGORIES
blog ranking
おかげさまで大好評です!

にほんブログ村 ベンチャーブログ 起業家志望へ





資格



Facebook
RECENT COMMENTS
MOBILE
qrcode
PROFILE
OTHERS

07
--
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
--
>>
<<
--

Days of Moving & Action

感動と行動を喚起する経営コンサルタント
Moving & Actionの、感動と行動の記録です。
<< facebook、twitter、ブログ、ホームページの関係 | main | なでしこに思うこと >>
マルウェアにやられた
0
    マルウェアにやられた。
    昔はスパイウェアとか言っていたが、最近はマルウェアと言うらしい。
    ブラウザの初期表示ページとかを書き換えたりするやつのこと。

    昨日、真面目なあるページを見ていたところ
    突然ブルースクリーンとなって
    PCが再起動した。

    暑かったので熱暴走でもしたか?と思っていたが
    まもなく、マカフィーが「トロイの木馬」を駆除した
    といってきたので、ウィルスにやられたか!と気付いた。

    マカフィーが感知したファイルは
    拡張子も、確か「.31C」だったので実行ファイルではなかった。
    そのファイルがあるフォルダを見てみると
    同じぐらいの更新日時で「dwm.exe」というファイルがあった。

    ※ちなみに、フォルダは
    c:¥documents and settings¥(ユーザー名)¥application data¥
    である。
    同様のケースに遭遇した人は参考にしてほしい。

    で、怪しい!と思いタスクマネージャーを見てみると
    やっぱり、dwm.exeが動いている!
    念のため、dwm.exeについてネットを調べると
    あまり情報が無かったけど、スパイウェアの可能性ありとの記述を発見。

    間違いないだろうと思い、プロセスを殺して、ファイルも削除した。
    (マカフィーでは、このファイルを問題ないと認識されてしまう)

    レジストリエディタ(regedit)で検索してみると
    怪しい登録があったのでこれも削除。

    やれやれ、ひと安心と思っていたら、
    なんと、dwm.exeともうひとつの「.31c」のファイルが復活している!
    しかもプロセスも復活!

    なんとも気味が悪い。
    で、同じことをもう一度繰り返して
    タスクマネージャーでプロセスを監視してたら、
    2F.exeだとか51.exeだとか毎回違うファイル名のプロセスが
    動いて、これらを復活させていることに気付いた。

    色々調べていると msinfo32 というツールで
    実行中プロセスの実行ファイルのパスが分かるということを発見。
    (Vista以上ならタスクマネージャで確認可能。私はXP)
    調べてみたら、dwm.exe以外にも
    conhost.exe と csrss.exe が
    c:¥documents and settings¥(ユーザー名)¥ の下で
    動いていることが分かった。
    なるほど、どうやらcsrss.exeが悪の根源で、他を復活させるようだ。
    で、csrss.exeをプロセス停止させようとしたが、停止しない。
    当然、実行ファイルも削除できない。

    う〜ん、困ったと思っていたら
    Unlocker というフリーソフトで問答無用に削除できるとのこと。
    試したら、確かに削除できた。
    3つのファイルを削除して再起動したら、
    上記プロセスが起動できない旨のメッセージが出たので
    レジストリから上記3つのファイルに関する登録を全て削除。

    これで、一件落着した。
    しかし、無駄な時間を4時間ぐらいすごした。
    (最近のマルウェア事情を学べたので無駄ではないが)

    ということで、ウィルス対策ソフトではマルウェアに関する防御は完璧ではない。
    やっぱり、ウィンドウズアップデートをちゃんと適用しないと
    セキュリティーホールを利用したマルウェアに
    感染してしまうということを実感。

    皆さんも注意しましょう。

    ちなみに、今回のマルウェアは
    ブラウザのプロキシ設定を勝手に書き換え、
    グーグルの検索結果をクリックした場合に2回に1回ぐらい
    まったく関係のない別のページを表示するという悪さを働くものだった。
    表示されたページのアドレスは忘れたが、
    レジストリクリーナー見たいものを一生懸命ダウンロードさせようとしていた。
    マイクロソフト公認だ的な怪しいバナーを一杯貼って。
    ちょっと調べたら、これをダウンロードしてしまった人は
    レジストリをめちゃくちゃにされたようだ。
    恐ろしい。





    ランキング参加中。↓押していただけると励みになります。
    にほんブログ村 ベンチャーブログ 起業家志望へ
    脱サラ・起業 無料コンサル
    | IT | comments(0) | trackbacks(0) | - | - |









    http://blog.moving-and-action.com/trackback/6