ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 共有プリンタに印刷できません。 | トップページ | 筆ぐるめのファイルを開きたい。 »

2005年11月 7日 (月)

スパイウェアの本体ファイルが見つからない。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

1年前にウイルスセキュリティ2005をインストールした、西明石にお住まいのお客さんにお呼びをいただきました。

「ウィルス用ソフトが期限切れなんで更新したほうがいいのかなと思って」

ぜひとも更新してください(^_^;)
やり方がわからなくて電話いただいたんですが…やり方もそうですが、実に意外な状況になっていたことに驚きました。

お伺いして、ウィルスセキュリティの状況を確認したら…ありゃ、もうすでに切れてますね(^_^;)
継続ボタンが出てくるので、そのボタンを押したら…クレジットカードなどを使って延長キーを買うページが表示されます。
でも、ここでは買ってきたパッケージ版を使った延長はできないんですよね…。
ここはソースネクストに改善を求めたいところです。

じゃあどうやれば延長ができるのかといいますと…。
「ウイルスセキュリティ」登録情報の確認・変更
このリンクの先にあるページで、登録時に使ったメールアドレスとパスワードを入力し、新しいシリアル番号を入力することになります。

これはウイルスセキュリティ最新サポート情報ページの中にある「パッケージ版やダウンロード版を使って継続したい。 」というリンクの先のページに解説があります。

でもまぁ今回は、期限切れだったこともあって、とりあえずアンインストールして、持ってきたウイルスセキュリティ2005EX 30日間延長キャンペーン版を再インストールすることにしました。

新たに利用開始手続きはできたんですが…。
なんか様子がおかしい。

妙なソフトがファイヤーウォールに引っかかった。
このパソコンは、ADSLモデムに直付けで、広帯域接続を使ってネットへ接続してます。
それが、タスクバーに出ている接続のアイコンは、ずーーーっと送受信とも水色、つまりひっきりなしに通信をしている状態。
プロパティを開いてみると、確かに送受信ともデータ量の数字が増え続けている。
やばいな…やられてるんじゃ?

ウイルスセキュリティにはきちんとファイヤーウォール機能が付いているはずなのに…。
でも、使っているのはご年配のご夫人ですから、適切な設定ができているとも思えない。
怪しい通信に、どこかで適当に「許可」ボタンを押した可能性もある。
これはこれで仕方がない。わからないんだから。

毎回、ウイルスセキュリティをインストールしたお客さんには、インストール後に初めて通信するソフトに対して許可を求められることがあること、それを適切に判断して「許可」「拒否」を決めること、わからなければ電話ください、と伝えています。
それでもこの件で電話をもらったことってほとんどないので、けっこう不安なんですが(^_^;)

基本的には、入り込んでもファイヤーウォールではじいてくれるはずだと考えてましたが、このパソコン、SP1のままでWindowsUpdateもできていない。
この状態では、いくらファイヤーウォールがあっても、それを回避される可能性は否定できません。

とにかくネットの接続を切り、怪しいプロセスの検証を開始。
例によって、HijackThisによる検証です。

Logfile of HijackThis v1.98.2
Scan saved at 10:58:51, on 2005/11/07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\scupdate.exe
C:\WINDOWS\System32\vxzvewdy.exe

動いているので怪しいのはこれぐらい。
ただ、carpserv.exeは、ファイルのプロパティを見たところでは、どうも怪しいものではないらしい。
(後で調べたら、内蔵モデム用のものらしいです)
でも、後の2つは、ハードディスク内を検索しても見つからない。
フォルダを表示しても見つからない。

うーむ…。

さらにスタートアップリストは、

O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] scupdate.exe
O4 - HKLM\..\Run: [MicrosoftUpdate] svhest.exe
O4 - HKLM\..\Run: [Microsoft Update] rundll32a.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Secure Messenger.NET Service] Windows_UPD.exe
O4 - HKLM\..\Run: [Windows Time Service] vxzvewdy.exe
O4 - HKLM\..\Run: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\Run: [window2] ieupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] scupdate.exe
O4 - HKLM\..\RunServices: [MicrosoftUpdate] svhest.exe
O4 - HKLM\..\RunServices: [Microsoft Update] rundll32a.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Secure Messenger.NET Service] Windows_UPD.exe
O4 - HKLM\..\RunServices: [Windows Time Service] vxzvewdy.exe
O4 - HKLM\..\RunServices: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\RunServices: [window2] ieupdate.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] scupdate.exe
O4 - HKCU\..\Run: [MicrosoftUpdate] svhest.exe
O4 - HKCU\..\Run: [Microsoft Update] rundll32a.exe
O4 - HKCU\..\Run: [Microsoft Secure Messenger.NET Service] Windows_UPD.exe
O4 - HKCU\..\Run: [window2] ieupdate.exe

ぐわ~~。
あやしい。あやしすぎる。

carpserv.exeはおいといて、こいつら全部FIXしちゃる!
FIXして再起動。
もう一度HijackThisでスキャン。

…消したはずが全く消えとらん(-益-;)
やっぱり全部復活かい。

とにかくさっきアクセスを拒否ってやったものを探し出さねば。
scupdate.exe と vxzvewdy.exe。
こいつらどこやねん!
…と検索かけたんですが、見つかりません。
そんなバカな?

ふと思い当たった。
XPの場合は、ファイル表示において「隠しファイルと隠しフォルダを表示しない」のと、もうひとつ「保護されたオペレーティングシステムファイルを表示しない」という機能がある。
隠しファイルとか隠しフォルダは、ファイル属性としてDOS時代から存在するもので、これはすぐに気がつくが、XPあたりから出てきた保護されたOS用ファイルの非表示という機能で見えなくなっているファイルがある。

これを確認するには、エクスプローラーの「ツール」から「フォルダオプション」で、「表示」タブにその設定があるので確認できます。

FolderOption01FolderOption02

これらを全て表示する設定にしてみた。

出てきやがったぜ。
いつもどおり、拡張子「exe」を「ex_」に書き換えて起動できないようにして、HijackThisでFIXし、再起動。

…何とか異常な通信は消えてくれた。
まずは一安心か。
もう一度HijackThisをかけてみる。

O4 - HKLM\..\Run: [Windows Time Service] vxzvewdy.exe
O4 - HKLM\..\RunServices: [Windows Time Service] vxzvewdy.exe

むう。まだこれが出てくるのか…(-益-;)
でも、すでに「vxzvewdy.ex_」とリネームして起動できないようにしてやったので、この起動項目自体は無効だ。
とはいえ、この項目が復活すること自体が問題だ。
持ち帰りで診断しているなら、あれこれレジストリを探すこともするのだが、客先なのであまりゆっくりやってる時間がない。
こうなったら、定番のAd-AwareSEとSpybot1.4にご登場願うか。

Ad-Awareは、クッキーの削除のみで終わり。

Spybotは…

CoolWWWSearch.SmartSearch: リダイレクト ホスト (リダイレクト ホスト, nothing done)
securityresponse.symantec.com=127.0.0.1
www.symantec.com=127.0.0.1
symantec.com=127.0.0.1

SurfSideKick: リダイレクト ホスト (リダイレクト ホスト, nothing done)
www.trendmicro.com=127.0.0.1
trendmicro.com=127.0.0.1
rads.mcafee.com=127.0.0.1
customer.symantec.com=127.0.0.1
liveupdate.symantec.com=127.0.0.1
us.mcafee.com=127.0.0.1
updates.symantec.com=127.0.0.1
update.symantec.com=127.0.0.1
www.nai.com=127.0.0.1
nai.com=127.0.0.1
secure.nai.com=127.0.0.1
dispatch.mcafee.com=127.0.0.1
download.mcafee.com=127.0.0.1
www.my-etrust.com=127.0.0.1
my-etrust.com=127.0.0.1
mast.mcafee.com=127.0.0.1
ca.com=127.0.0.1
www.ca.com=127.0.0.1
networkassociates.com=127.0.0.1
www.networkassociates.com=127.0.0.1
avp.com=127.0.0.1
www.kaspersky.com=127.0.0.1
www.avp.com=127.0.0.1
kaspersky.com=127.0.0.1
www.f-secure.com=127.0.0.1
f-secure.com=127.0.0.1
viruslist.com=127.0.0.1
www.viruslist.com=127.0.0.1
liveupdate.symantecliveupdate.com=127.0.0.1
mcafee.com=127.0.0.1
www.mcafee.com=127.0.0.1
sophos.com=127.0.0.1
www.sophos.com=127.0.0.1

おおっ!Hostsの書き換えか!
幸か不幸か、ウイルスセキュリティを使っていたので、この辺の異常にはまったく気づかなかった…。
すべてセキュリティ対策ソフトのためのURLを無効にするための改竄(かいざん)です。
他にもいくつかのスパイウェアを駆除してましたが、残念ながらログファイルを取りそこねてしまいました…。

最後にウイルスセキュリティ2005EXにてスキャン。

C:\WINDOWS\system32,winsysrpc.exe Backdoor.Win32.SdBot.sr
C:\WINDOWS,ax.exe Trojan.Dadobra.bl
C:\Program Files\NetMeeting\dll,lsass.exe Non-Virus-Riskware.FTP.Serv-U.40
C:\Program Files\NetMeeting\dll,svchost.exe Backdoor.Iroffer.1307
C:\WINDOWS\system32,serviz.exe Backdoor.Rbot.bh
C:\WINDOWS\Temp,~2.tmp Trojan.Bobax.c

うーむ、いろいろやられていたようですね…久々の大漁です。

しかし、通信をしようとした scupdate.exevxzvewdy.exe は、どうしたわけかこれらのツールでは検知されませんでした。
おそらく新手のものか、リストから漏れているものかでしょう。

これを書くために改めて検索をかけましたが、scupdate.exe はどうやら悪性のBot系のトロイの木馬vxzvewdy.exe はランダムなファイル名のせいか、情報が見つかりませんでした。
いずれにせよ、拡張子を変えているので、勝手に起動することはないでしょう。
しかし、システムファイルのふりをして隠れているとは…悪質ですねぇ。

これで異常な通信はしなくなりましたので、駆除完了とみていいでしょう。
最後にSP2の適用で〆です。
しかし、ご年配のご婦人でしたので、どう考えてもアダルトサイトでやられたとは思えません。
SP2適用待ちの間に、念のため聞いてみましたが、「そんなわけないでしょ!!」と一蹴。ごもっとも。
じゃあ、いったいどんなところで拾ってくるんでしょうねぇ…。
普段、どういったところを見られているか気になります。

それにしても、今回の状況から考えると、WindowsXPでSP2修正が当たっていなければ、やはりやられてしまう状況に変わりはないようです。
今までは、SP2修正はうっかりやるといろいろ不具合が発生するということがあるので、「SP2適用はしばらく様子をみて」と言われていました。
しかし、SP2発表からすでに1年が経過した今、逆にSP2修正を当てないと危険な状況であることがはっきりしました。

スパイウェアは、入り込むのに「ホームページを見ていただいたついでに入る」という経路を使うことが一般的なので、ルーターは、スパイウェアに対しては何の防御にもなりません。
要はブラウザやWindowsの「穴」を突いて入ってくるので、こうなるとセキュリティ対策ソフトですら防ぎきれない場合があります。
今までの経験からすれば、SP2修正のかかっているパソコンで、これらのスパイウェアにやられた話を聞いたことがないので、やはり「WindowsXPにSP2は必須」ということでしょう。

ただし、SP2適用にはまれにパソコンそのものが起動できなくなるというリスクが存在します。
メーカー製パソコンの場合は、必ずメーカーサイトで確認をしてから適用することを強くお勧めします。
自作パソコンの場合は、完全に自己責任ですね。作ってもらったものは、作ってくれた人に確認しましょう…。
自作パソコンが安いのは、こういうところでリスクがあるからです。
その程度のことを自分で何とかする根性も覚悟もない人は、安直に自作パソコンを使ってはならないのです。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年11月07日(月) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« 共有プリンタに印刷できません。 | トップページ | 筆ぐるめのファイルを開きたい。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/7018805/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: スパイウェアの本体ファイルが見つからない。:

コメント

大変でしたね。何度消しても復活しやがる奴は蹴りたくなりますね。ご婦人にエロサイト見たか?てよう聞けましたね?チャレンジャですなあ。笑 見てても見てないて言いますよ。

投稿: prtwqq | 2005/11/10 19:25:41

お邪魔します。
いつもながらお見事ですね、参考にさせていただきます。今回はちょうどこの記事( http://hotwired.goo.ne.jp/news/technology/story/20051102301.html )を見ていたのでコメント入れさせていただきました。またよろしくお願いします。

投稿: pts. | 2005/11/11 8:29:56

prtwqq さん

まぁ一応検証ということで。
しかし最近はエロサイトでなくてもスパイウェア侵入というのがよくあるようです。
いったいどんなサイトで…。

pts. さん

Aベックスのも、CDを入れると勝手に別のプレイヤーが動きますよね。
コピーされるのが嫌なのはわかるんですが…。

投稿: ささもと | 2005/11/14 8:48:37

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 共有プリンタに印刷できません。 | トップページ | 筆ぐるめのファイルを開きたい。 »