ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« メモリースティックDuoと郵政民営化法案否決。 | トップページ | 印刷できません。 »

2005年8月12日 (金)

隊長!HijackThisが通用しませんっ!

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

02_11今回のスパイウェアには、ちょっとてこずらされました。
なんと、いつも使っているツールHijackThisが役に立たなかったのです!
原因は、後になってわかったのですが…。

呼び出しは、よくある1つの問い合わせ。

「あのー、ウィルスにやられちゃったみたいなんですけど、直してもらえます?」
もちろん、お伺いの上、現象を確認した上で、現状復帰を基本にやらせてもらいます。
スパイウェアの場合は、最近はどんどん新しいのが出ているので、場合によっては持ち帰り調査になる可能性もあります。

…てなやりとりで住所とお名前と電話番号を教えてもらい、お伺いすることになります。
今回お伺いしてみて、実際の症状を見てみました。
起動は普通にしました。
しかしその後が…。

一応、インターネット接続は外しておいたのですが、次々と怪しげなURLのページを開こうとします。
閉じても閉じても、次から次へとブラウザが開きます。
もうほとんどブラクラ(ブラウザークラッシャー:自動的にブラウザーを次々に開き、パソコンを操作不能に陥れる手法)状態。
おまけに、インストールされているウィルスバスターは、「駆除できませんでした。手動で削除してください」と人間様に命令をしてくる(笑)。そんな簡単に出来たら誰も苦労はせん。
時間が経てば経つほど、ブラウザウィンドウが開いていき、ウィルスバスターからの命令も増え、まともな操作にすら時間がかかる状態。

こりゃダメだ。

なんとか再起動に持ち込み、定番ツールHijackThisで起動項目のチェックを…と思って起動したら…なんと!チェック中にHijackThisが異常終了してしまう!
ということで、起動項目そのほかは全くわからない状態。
うーむ、どうする???

ここでわからないと言ってさじを投げるようでは、プロとは言えない。

先日、とある事情で入手した、とあるツールを使ってみた。
このツール、実行したパソコンのハードウェア情報はもちろん、WindowsUpdate情報からインターネットエクスプローラーのバージョンや、インストールされているソフトの情報、そして自動起動のかかっているプログラムファイルの情報なども収集できるツールです。
起動項目だけなら、msconfigでもわかりますが、どうもこれだけでは不安で…。

ということで、このツールを使って起動項目を確認できました。
いましたいました。怪しい項目が。

IST Service = C:\Program Files\ISTsvc\istsvc.exe

7AxA5M = C:\WINDOWS\swsmbgd.exe

Internet Optimizer = "C:\Program Files\Internet Optimizer\optimize.exe"

ddesjos8 = C:\WINDOWS\System32\ddesjos8.exe

7AxA5Mkg:^#N bュサ1蹐:\Program Files\ISTsvc\istsvc.exe = C:\WINDOWS\swsmbgd.exe

]Pn5Mv-:^#N bュサ1蹐:\Program Files\ISTsvc\istsvc.exe = C:\WINDOWS\swsmbgd.exe

]Pn5Mv-:^#N bュサ$ヒユ蹐:\Program Files\ISTsvc\istsvc.exe = C:\WINDOWS\swsmbgd.exe

実行中のプロセスにも怪しい項目が。

istsvc.exe = C:\Program Files\ISTsvc\istsvc.exe

swsmbgd.exe = C:\WINDOWS\swsmbgd.exe

optimize.exe = C:\Program Files\Internet Optimizer\optimize.exe

ddesjos8.exe = C:\WINDOWS\System32\ddesjos8.exe

これはもう何度も見かけている「ISTbar」と「Internet Optimizer」ですね。
でも、「ddesjos8.exe」って…。
これは多分、ファイル名をランダムなものにするタイプのものでしょう。

ということで、とりあえずは「プログラムの追加と削除」に入っている

ISTsvc

Internet Optimizer

この2つを削除。
ぱっと見はこれで削除できたように見えるが、油断はできません。
なにやら他にも

Select CashBack

SideFind

SlotchBar

という怪しげのものが。
とりあえずわかっているものだけ先に削除して再起動。

現象変わらず。うーむ。
HijackThisも同じく途中で止まる。
こりゃやばいな。

なにやらHostsファイルのチェックで止まっているようだし、Hostsファイルを確認してみるか。

C:\Windows\system32\Drivers\etc\

のフォルダにある、「Hosts」という拡張子無しのファイルがそれ。
これに余分なIPアドレスが追加されてて、変なところへ飛ばされることが多いのですが…。
通常は、コメント行がずらずら続いて、最後に

127.0.0.1 localhost

が記述されているだけのはず。
やっぱり改変されてた。
なにやら妙な記号まで含まれていたので、問答無用で削除して、通常の状態に戻して保存。

その後、HijackThisを起動したら、なんと起動できた。
どうもHostsファイルの異常な記号がまずかったようだ。
ここまでくればこっちのもの。
怪しい項目を片っ端からFIXします。

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [7AxA5M] C:\WINDOWS\swsmbgd.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [ddesjos8] C:\WINDOWS\System32\ddesjos8.exe

O4 - HKLM\..\Run: [7AxA5Mkg:^#N bュサ1蹐:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\swsmbgd.exe

O4 - HKLM\..\Run: []Pn5Mv-:^#N bュサ1蹐:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\swsmbgd.exe

O4 - HKLM\..\Run: []Pn5Mv-:^#N bュサ$ヒユ蹐:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\swsmbgd.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

どうもSideFindってのも感染しているようです。
なんか変な文字化けも…。
まぁとにかくこれらの項目をFIXしてセーフモードで再起動。
該当の実行ファイルと、該当のファイルを置いてあるフォルダの名前を変えて、起動できなくしておきます。
で、通常の起動。

なんとか症状は治まってきたようだ。
もう一度HijackThisを実行。
怪しい起動項目がないことを確認。
…OKのようだ。

あとはさっきから「手動で削除してください」と役にも立たないメッセージをやかましく表示させて鬱陶しいだけのウィルスバスターにスキャンをさせて隔離させ、スパイウェアをスキャンさせて駆除させて完了。
やっぱりソフトウェアってのは道具なんだから、こう使わないとね。
機械にやかましく命令されるってのは、やっぱり嫌ですよね~(笑)

あとは、WindowsUpdateのことをご存じなかったので、それの説明と、SP2のインストール。
まぁ、SP2が入ってないなら、こういうスパイウェアにやられても仕方ないですね…。
SP2が入っててもやられるものはやられますが、格段に確率は減りますよね。

このお客さん、実は主婦の方だったんですが、Yahoo!知恵袋っていう質問サイトを使っていたらしいのです。
そこにあったリンクをクリックしてみたら、なんだか様子が変だな?と思ってすぐに電源を切ったらしいのですが、遅かったようです…。

ちょっと前までは、こういう被害に遭うのはエロサイトをウロウロしているオヤジと相場は決まっていましたが、もうそういう時代でもなくなってきた、というのが怖いですね。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年08月12日(金) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« メモリースティックDuoと郵政民営化法案否決。 | トップページ | 印刷できません。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/5442074/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 隊長!HijackThisが通用しませんっ!:

コメント

はじめまして、県内でいわゆる設置屋をしておりますuzと申します。
普段はISP系のインターネット接続作業が多いのですが、スパイウェアの罹患率の高さには驚きを隠せません。ご指摘のように、若い女性のPCも相当数感染しているのでアダルトサイト以外のネット上に沢山の地雷が設置されているようですね。
会社からはスパイウェアを発見した場合、リカバリーをご案内して撤収しろとの指示を受けていますが、ブロードバンド開通を心待ちにしているお客様を前にして、なかなか見捨ててはおけないです。
以前は、Spybot,Adawere,HijackThisの全てを駆使しても抜けない場合がありましたが、Spybotが1.4になってからは発見、駆除率が飛躍的に向上しとても楽になりました。
しかし、セキュリティー意識の低さは問題ですね。

投稿: uz | 2005/08/13 0:22:48

はじめまして、uzさん。私は時折こちらのページにお邪魔しているLONGと申します。PCは趣味でやっております。私は、セキュリティ意識が低いのは意外と無知から来るのではないか?と思っています。例えば、今のパソコンユーザにこんな質問をしてみます。「そのパソコン、本当に貴方のものですか?」。きっと返ってくる答えは「当たり前だ、ナメるんじゃねえ!」か「???」でしょう。でも、本当にそうでしょうか。本人が「自分のもの」と思い込んでいるだけで、本当はマイクロソフトやその他のソフトハウス、ハッカーたちにPCの支配権を握られて居るのが真実ではないでしょうか。少し極論かもしれませんが、少なくとも今のAT互換機を使っている時点でそういう意識が持てないのは無知から来る事と思います。セキュリティも同じ事では?と。蛇足ですが、WinXPなんて酷いものでPC部品を何点か同時に変えると別機体と見なされて起動できなくなり「勝手に機体を変えるな」とOSに怒られるとか何とか(^^;。大きなお世話だっつーの。因みに再びOS起動させるようにするためには電話で(ネットはダメ)アクティベートしなければならないそうです。

投稿: LONG | 2005/08/17 11:48:36

お返事が遅れました…(^_^;)
初めまして、uzさん。
スパイウェアの感染は、ある意味仕方がありません。
敵はウィルス制作者のように「趣味」でやっているわけではなく「仕事」でやっているわけですから。

セキュリティ意識の低さは、こちらもある意味仕方がありません。
ほとんどの人は、自分の回線に、1時間に100発近くのウィルス(ワーム)攻撃を食らっていることに気付いていませんから。
また、スパイウェア・アドウェアというものの存在すら知らない人もほとんどでしょう。

のぞきにも泥棒にも遭遇したことがないから、窓も玄関も鍵をかけていない、というのと同じです。

テレビとかで大々的にやってくれれば、ちょっとは違ってくるでしょうけどね。

スパイウェア・アドウェアの手口は、侵入経路はどうあれ、どこかにインストールされて何らかの形で自動起動がかかるようになっています。
HijackThisが使えなくても、何らかの形で「動いている怪しいプロセス」はわかりますので、そのファイルをセーフモードでリネームしてしまえば動かなくなります。
それだけわかれば、ツールに頼ることなくなんとかなるものです。
まぁツールが使えれば楽ですが、頼り切るのは危険ですので…。

投稿: ささもと | 2005/08/21 11:53:14

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« メモリースティックDuoと郵政民営化法案否決。 | トップページ | 印刷できません。 »