その1にも書きましたが、かなり厄介ですね。Windows Update を行っていれば強制実行はされないと思いますが、このファイル自体の中身は一定のものではないようです。
約1ヶ月前
1ヶ月程前では、NAV・VB・マカフィー・NOD32・Ad-Aware・Spybotで全く検出されませんでした。下記サイトの(アップデートロード)検査で検出されました。
- Kaspersky Online Virus Scannerでは【Trojan.Win32.Qhost.n】
- (C)lamAV (O)nline (S)pecimen (S)cannerでは【Trojan.Qhost.D】
その後、同じファイルを10/4付でNAVが【Downloader.Lunii】として(ウイルス定義)対応
これはマカフィーでのQHosts-18 Downloader-PZ、VBのTROJ_QHOST.Nのと同じようなのですが検出できませんでした。
10/?改変?サイズが変更(4.5KB)
NAVで検出されない、マカフィー・VBも未検出。
10/23付定義でNOD32アンチウイルスが【TrojanDownloader.Harnig.NAD トロイ】として検出。AVGでは【Trojan Horse Downloader Small.13.V】。
10/25検体提出後、10/26にVBが【TROJ_SMALL.YT】として検出
10/27 再び改変?loadadv65.exe(ファイル名も違う)
NOD32は【TrojanDownloader.Harnig.ALgen トロイ】として検出。 AVGでは【Trojan Downloader Harnig.AF】他は未検出。
もう一度各社に検体を送ってみます。
「view-source:」で追っかけてるだけなので実態ははっきりとはわかりませんが、不正実行の仕掛けも改変されてるかもしれません。
さて、その実態は?
以前は【Downloader.Lunii】として検出されましたが、全くの別物に変わっている様です。あるいは元々ランダムなのかも?
VBのリアルタイム検索無効→ファイル実行→(約30秒後)VB有効→(約30秒後)LANケーブルぶっこ抜き、での結果です。
- IEのホーム及び検索ページ改変
-
不正プログラムを完全除去しないと何度も復活するようです。HijackThisのログに出なかったので、Spybotのツール画面から修正しました。何かの処理をする度に出たり出なかったりするので何度もログを取る必要があるようです。「Web設定のリセット」もこまめに実行した方がいいかと。
- 信頼済みサイトへの登録・設定を【低】に変更
-
一度HijackThisから全て削除しましたが、インターネットオプションで確認すると、1つだけCWSのIPアドレスがありました。スライダが【低】にされてました。
- (ウイルス?)ドロッパー、バックドア
-
う〜ん、ウイルスバスター(2004)が反応してくれなかったら多分私には「お手上げ」だったと思います。タスクマネージャーから怪しいプログラムを強制終了させるとその度に検出隔離してくれました。(ここで捕まえないと復活するようです?)また、チェック用ツールを起動させた際にも反応があったので手がかりを見つけることができました。普段はどっちかと言えばハッキリNorton派ですが...。駆除方法が乱暴すぎるだけかもしれませんけど・・。
Autorunsを起動させると【..Application Data\Microsoft\SR64】フォルダ内のdllファイルをウイルスバスター(2004)が検出しますが隔離できません。このフォルダはエクスプローラーでは不可視となっています。システム属性などすべてを外してもダメ。コマンドプロンプトでは見えるのですが起動中なので削除できません。タスクマネージャーには怪しいプログラムはない、う〜ん、ハッキングツール類なんかだとプロセス自体が見えないのか?
でも「
ドロッパーダウンローダーならもしや」と思い、TCPViewを起動して怪しいプロセスを止めると同時にとウイルスバスターが今度はexeファイルを検出と同時に隔離。エクスプローラーにSR64フォルダが現れました。但し、これは起動を止めてもしっかりお土産(自動起動のためのトリガー)を残して行くようです。 - ウイルススキャンで検出される不正プログラム
-
まぁ、結構な数です。たった10KB程のインストーラがこれだけのものを仕込んでくれました。正直ガクガクブルブルです!(LANケーブル抜くのがちょと遅かったからかも)
- BKDR_JEEMP.C -[system32\msrexe.exe]
- BKDR_JEEMP.C -[%Userprofile%\d.exe]
- BKDR_THUNK.E -[system32\child.dll]
- TROJ_AGENT.AG -[%Userprofile%\Application Data\Microsoft\sr64\cdclimek.exe]
- TROJ_AGENT.AG -[%Userprofile%\pr.exe]
- TROJ_LOWZONES.H -[WINDOWS\toolbar.exe](セキュリティ設定を変更?)
- TROJ_SMALL.YT -[loaddadv65.exe]
- TROJ_SMALL.YT -[\TEMP\nlumrjr6.exe]
- TROJ_STRTPAGE.O -[SYSTEM32\SYSTIME.EXE]
- DIAL_PORNDIAL.BP -[C:\124497.exe]
なんか凄すぎてちびりそうです...。
新規作成されたファイルを検索するとまだまだ怪しいものが残っています。今度はNAV2004でスキャンしてみました。
- Download Trojan -[%Userprofile%\twamp0d1.exe]
- Download Trojan -[%Userprofile%\msload.exe ]
- Download Trojan -[\WINDOWS\mstasks1.exe ]
- Dialer.Webview -[_restore{...}\RP59\A0012600.exe ]
- Dialer.WSV -[_restore{...}\RP59\A0012600.exe]
【Dialer.WSV】はVBでの【PORNDIAL.BP】と同じものの様です。 「システムの復元」フォルダ内のファイルも削除できるって初めて知りました。
でも、WINDOWSフォルダ内の作成日時が同じ【mstasks2.exe】【mstasks3.exe】は検出しませんでした。(影武者ってか?)
- [system32\dktibs.exe]
-
NAV・VBで検出できなかったものがまだまだありました。
TrendMicroの情報にこれ(dktibs.exe)と同じと思われる【TROJ_DOWNLOAD.H】がありました。なんで検出できなかったのかな?
- マカフィー(2005)では【Downloader-ME】
- NOD32が【Win32/TrojanDownloader.Small.MY】
- AVGでは【Trojan Horse Downloader Small.8.R】
以上リアルタイムで検出。
[windows\hosts]をマカフィーが【QHosts-18!hosts】でリアルタイム検出
[windows\mstasks2.exe]及び[mstasks3.exe]をAVGが【Trojan Horse
ColledtedCollected.Z】リアルタイムで検出う〜ん、AVGもなかなかやりますね。でもウイルス情報がじぇんじぇんありましぇんので何なのか全くわかんないんですけど。
あと、[system32\WinUpdate.exe][system32\____1.exe]など作成日時が同じいかにも怪しいファイルがありましたが検出できませんでした。
- Ad-Aware でレジストリのチェック
-
この前に【HKLM\..\Run】などの値を手動削除しましたが何度か復活してました。
Backdoor.JeemやDialer、消したつもりだった「信頼済みサイト」の登録など計63件検出。(その後Spybotでは1件検出。)
こういうウイルス削除後のレジストリのチェックの際には、この「Ad-Aware」などのスパイウェア対策ソフトって「頼もしい」って思います。
但し、これでも完全ではなかったのでトレンドマイクロサイトの情報を元にレジストリを手動修正しました。
実行と同時に対処してもこれだけのものが出るわけですから、OS再起動またはインターネットに接続してIEを起動させた場合などは「とんでもない」状態になることが予想されますね。
でも、(このサイトに関してあくまで現時点では)Windows Updateをきちんとやっていたらこれらのプログラムが「勝手に」インストールされてしまうことはない筈です。それにプラス、基本的な対策と注意を怠らなければ大丈夫かと思います。あっと、でも怪しいリンク先にはナニがあるかわからないのでご用心!。っていうか変なとこ近寄らないことが肝心だ。