Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

スパイウェアの駆除

Google の広告

スパイウェアの場合は複数の手段で侵入を図る事例が多いようです。以下は先日友人のPCを調べた際の話です。

PC環境:Windows XP Pro。「Norton AntiVirus 2003」「Sygate Personal Firewall 5.5」「Spybot1.2」(免疫機能及びダウンロードブロッカー)使用。会社と自宅で無線LAN接続(ルーター・パケットフィルタリング機能有)。

「Sygate Personal Firewall」が起動できなくなっていました。アンインストール・上書きインストールもできません。NAVでのウイルススキャンでは「Trojan.ByteVerify 」が検出されました。これ自体はMS03-011の脆弱性を狙った「Exploit」なので既に対応済みです。また検出場所が「Temporary Internet Files」でしたので実行されてしまった可能性はないと考えました。(実際にはそう断言するのは危険ですけど NAV でも検出したはずです。)これを削除しましたが SPF は起動できません。

レジストリの自動起動項目には異常なし、 他のあやしいものは削除しました。それでもSPF は起動しません。で「Ad-aware」を使う前に「ハッ」と気付きました。もしやと思い「プログラムの追加と削除」を見てみますとありましたありました。【Roings】とだけ説明も何もありません。怪しさ爆発です(笑)。これをアンインストールした後、SPF (起動はできなかったので)再インストールが可能になりました。(このあと「Ad-aware」で3個ほど検出されたファイルを削除)

「Spybot」では検出ゼロ。
「a2」のスキャンで国内のフリーソフトが検出されました。作者のWEBサイトがかなりあやしかったので念のために削除しましたがその後サイト自体が消滅してました...。(やっぱり・・・かも?)

要するに「正攻法」で入られちゃったわけですね。本人の記憶は曖昧とのことでしたので多分「ActiveX のダウンロード」で「はい」をクリックさせられちゃったのじゃないのかなと。(ブラクラを踏んで操作不能状態中にクリックしちゃうこともありますね)。 アンインストールも正攻法で可能だったわけですがもしかするとスパイウェア駆除ソフトで検出ファイルのみ削除した場合はおかしなことになっちゃうこともあるんじゃないかなと。

ヘタレな私の稚拙な推測なんですが、これは「Trojan.ByteVerify 」を使って確認なしに「ActiveX」を自動実行させるスパイウェアだったんじゃないかと思います。ここでの注意点として「Trojan」はウイルス対策ソフトが検出するけど「ActiveX」を許可しちゃったらどうにでもされちゃうってことですね。(当り前ですね。)

【Roings】については「Ad-aware」が 5/3 の定義ファイルで対応したようです。本日現在では URIも検索すれば出てきます。