最近マルウェアに感染したマシンを診ました(※キャプチャーを原寸で見るには、画像を二回ぐらいクリックしてブラウザに直接jpgがロードされる状態にする)
以前にもみたタイプのマルウェアだったので、駆逐ツール(ココで配布してる)を使って除去を試みましたが、今回はスルーしてしまいました。またこれも使いましたが、今回はCookieしかひっかけてくれませんでした(メールについてきたウィルスを駆逐する時には役だったんですが…) しょうがないので、タスクマネージャからおかしな動きをしているプロセスを見つけて、バッチファイルが保存されているフォルダと、起動トリガーとなっているレジストリの登録箇所をつぶして手作業でマルウェアを取り除きました。このマルウェアの駆動のカラクリに関しては、トレンドマイクロの分析官さんのブログに詳しく載っているのでそちらを読んでいただければいいと思いますが(参考 「HTAを利用したワンクリックウエアの新たな手口」)、ボタンを押してあやしい「HTA」形式ファイルがダウンロードされた時、このマシンに入ってたノートン先生(期限切れではない)は何してたんだろうかと思いました。トレンドマイクロの該当記事は四年前に投稿されてるので四年経っても未対応なんでしょうかねぇ( ̄д ̄) マカフィーもちゃんと引っかけてくれるのかいまいち信用が無いのでウィルスバスターいれとけばいいんですかね(危ないサイトにはウィルスバスターがブロックしててそもそも行かせてもらえないし)
P.S Vistaのセキュリティに閉口しました。マルウェアがもぐりこんでいる階層に行けないこと。行けないこと。邪魔でしょうがないヽ(`Д´)ノプンプン
コメント