「Nuclear Exploit Kit」によるトロイの侵略を許してしまいました
はい、タイトル通りなのですが、十数年ぶりに虫に食われました (´・ω・`)
しかもかなりやっかいなヤツでした・・・・
Web上で症状を検索すると、新型のトロイなのかもしれません。
とりあえずはシステムを破壊するものではないのですが、個人情報が抜き取られる恐怖がっ
感染後の症状はと言いますと、エクスプローラーの動作が非常に重くなり、CPUが起動した覚えないプロセスで占有されてしまうという感じです。
特に、エクスプローラーの重さが半端なくて、マイコンピューターを開くのにも一苦労でした。
その症状に気づいたときには、丁度WindowsUpdateを行った直後だったので、「MSがまた何かやらかしたのか!」と思っていたのですが、
タスクマネージャーを見てそうじゃないとすぐわかりました。
OS起動後のタスクマネージャーの様子が以下です。
cmd.exeやconhost.exe、msiexec.exeが複数立ち上がり、explorer.exeが2つもあります。
突っ込みどころ満載です!
この時は出てなかったのですが、notepad.exeも起動している時もありました(勿論、偽者です)
これをProcessExplorerで見ると以下のようになっています。
taskmgr.exeとprcexp.exeの間にあるものは、全部不正プログラムです。
手動でポチポチ消しても、すぐにまた新しいプロセスが立ち上がってくるのでいたちごっこに。
そんな不毛な作業をしてるうちに気づいたのですが、こいつらはexplorer.exeの子供としてぽんぽん生まれてくるので、大本を消しちゃえ!
って事で、親プロセスであるエクスプローラーを消してみたところ・・・・
スッキリ全部消えて、それ以降立ち上がらなくなりました!
これで解決! 完!!
・・・と言うわけにもいきません ('A')
エクスプローラーを消すって事は、タスクバーが勿論消えます。
スタートメニューも出せなければクイック起動バーも使えずに時計も見れません。
タスクマネージャーやProcessExplorerを起動してれば、「ファイル名を指定して実行」で直接プログラムの起動は出来ますが、流石に限度があります。
(私はOrchisランチャーを使用して、プログラムのショートカットを登録していたものは起動出来たので、数日そのままで過しました。)
その「ファイル名を指定して実行」で、再度エクスプローラーを起動してみました。
はい、うじゃうじゃ起動してきました。
explorerは完全に使用禁止ですね。
このままでは困るので害虫駆除に取り掛かったのですが、アンチウィルスソフトを何個か試した結果、成果は上がらずでした (´・ω・`)
私が使っているOSはWindows7でして、その通常アクセス禁止な領域(Documents and Settingsの奥深く)に本体が居るために、手が届かない状態なんだとか。
それに対処するには、Avastのブートスキャン(OSが起動する前にウィルス駆除するやつ)を使うと、駆除出来るとの事だったので試してみたのですが、
6時間を2セット繰り返して検査しても、私の場合は駆除は出来ませんでした orz
「よろしい、ならばシステムの復元だ」と思ったら、ご丁寧に復元ポイントも破壊してくれました (#^ω^)ビキビキ
結局、OSの再インストールと言う最終手段を行って事態は収拾しました・・・無念
今回のトロイの進入経路ですが、流行り?の「Nuclear Exploit Kit」によるものでした。
Adobe Flash Playerの脆弱性を利用してトロイを送りつけてくるヤツです。
Flashで作成された広告をブラウザで見ただけで感染してくるアクティブな野郎です。
送り込まれたトロイは「Bedep-A」ってのらしいですけど、これであってるのかはいまいちわかりません。
物理的に違うドライブにOSを入れなおし、感染があったドライブに対してAvastとノートンとウィルスバスターでスキャン掛けても検出が出来ませんでした。
このFlashの脆弱性は4月のパッチで対応されたらしいのですが、私は更新していませんでした。
以前に不具合パッチやられてから自動更新は切っていて、PCの再起動時に更新する様にしてたんですよね・・・
で、PCを1ヶ月以上も再起動していませんでしたw
私のメインブラウザはNoscriptアドオンを入れたFirefoxなので、こちらを使用していれば感染する事はなかったはずです。
ですが、その時だけたまたま別の用途でIEを使っていたのです。
そしてそのIEで、ちょっとエロい系のサイトを回ってしまったと言う救いようが無いアホな行為を!!
十年以上も痛い目を見てなかったので慢心してましたね・・・・情けない。
まぁ、そのおかげで前から導入しようと思っていたSSDを導入出来たので怪我の功名かな!!!!
みなさんはこんな痛い目に合わないように、Flashの更新をしておきましょうね!
バージョの確認は以下のサイトで行えます。
● Adobe - Flash Player
素のIEを使ってる人は、それをどぶ川に捨てて、Noscriptアドオンを入れたFirefox使いましょう (`・ω・´)
Flash系の広告を消してくれるので、動作がかなり軽くなりますよ!
~~~追記(2015/06/09)~~~~
こちらの掲示板を参考にして、KNOPIXXなるLinuxOSからCDブートでWindowsからはアクセス不可領域を確認したところ、
ProgramData\Application Data\{英数字の羅列}
というフォルダ内に、"fwcfg.dll"と英数字の名前のファイルが見つかりました。
ファイルの日付的に"fwcfg.dll"が本体ということで間違いなさそうです。
このファイル毎フォルダを削除して以前のOSで立ち上げた所、不正プログラムの増殖は止まりました!
エクスプローラーも軽くなり、快適です ( ◜◡◝ )
ですが、今度はsvhost.exxeがCPU食い始めたので完全に除去は出来てないようです。
これ以上は、また時間があった時にでもKNOPIXXからブートして調べてみたいと思います。
<<のぞえもん1巻 (藤崎ひかり) | ホーム | ぷにケット31戦利品(夢先案内回覧版、要、シチテンバットウ)>>
しかもかなりやっかいなヤツでした・・・・
Web上で症状を検索すると、新型のトロイなのかもしれません。
とりあえずはシステムを破壊するものではないのですが、個人情報が抜き取られる恐怖がっ
感染後の症状はと言いますと、エクスプローラーの動作が非常に重くなり、CPUが起動した覚えないプロセスで占有されてしまうという感じです。
特に、エクスプローラーの重さが半端なくて、マイコンピューターを開くのにも一苦労でした。
その症状に気づいたときには、丁度WindowsUpdateを行った直後だったので、「MSがまた何かやらかしたのか!」と思っていたのですが、
タスクマネージャーを見てそうじゃないとすぐわかりました。
OS起動後のタスクマネージャーの様子が以下です。
cmd.exeやconhost.exe、msiexec.exeが複数立ち上がり、explorer.exeが2つもあります。
突っ込みどころ満載です!
この時は出てなかったのですが、notepad.exeも起動している時もありました(勿論、偽者です)
これをProcessExplorerで見ると以下のようになっています。
taskmgr.exeとprcexp.exeの間にあるものは、全部不正プログラムです。
手動でポチポチ消しても、すぐにまた新しいプロセスが立ち上がってくるのでいたちごっこに。
そんな不毛な作業をしてるうちに気づいたのですが、こいつらはexplorer.exeの子供としてぽんぽん生まれてくるので、大本を消しちゃえ!
って事で、親プロセスであるエクスプローラーを消してみたところ・・・・
スッキリ全部消えて、それ以降立ち上がらなくなりました!
これで解決! 完!!
・・・と言うわけにもいきません ('A')
エクスプローラーを消すって事は、タスクバーが勿論消えます。
スタートメニューも出せなければクイック起動バーも使えずに時計も見れません。
タスクマネージャーやProcessExplorerを起動してれば、「ファイル名を指定して実行」で直接プログラムの起動は出来ますが、流石に限度があります。
(私はOrchisランチャーを使用して、プログラムのショートカットを登録していたものは起動出来たので、数日そのままで過しました。)
その「ファイル名を指定して実行」で、再度エクスプローラーを起動してみました。
はい、うじゃうじゃ起動してきました。
explorerは完全に使用禁止ですね。
このままでは困るので害虫駆除に取り掛かったのですが、アンチウィルスソフトを何個か試した結果、成果は上がらずでした (´・ω・`)
私が使っているOSはWindows7でして、その通常アクセス禁止な領域(Documents and Settingsの奥深く)に本体が居るために、手が届かない状態なんだとか。
それに対処するには、Avastのブートスキャン(OSが起動する前にウィルス駆除するやつ)を使うと、駆除出来るとの事だったので試してみたのですが、
6時間を2セット繰り返して検査しても、私の場合は駆除は出来ませんでした orz
「よろしい、ならばシステムの復元だ」と思ったら、ご丁寧に復元ポイントも破壊してくれました (#^ω^)ビキビキ
結局、OSの再インストールと言う最終手段を行って事態は収拾しました・・・無念
今回のトロイの進入経路ですが、流行り?の「Nuclear Exploit Kit」によるものでした。
Adobe Flash Playerの脆弱性を利用してトロイを送りつけてくるヤツです。
Flashで作成された広告をブラウザで見ただけで感染してくるアクティブな野郎です。
送り込まれたトロイは「Bedep-A」ってのらしいですけど、これであってるのかはいまいちわかりません。
物理的に違うドライブにOSを入れなおし、感染があったドライブに対してAvastとノートンとウィルスバスターでスキャン掛けても検出が出来ませんでした。
このFlashの脆弱性は4月のパッチで対応されたらしいのですが、私は更新していませんでした。
以前に不具合パッチやられてから自動更新は切っていて、PCの再起動時に更新する様にしてたんですよね・・・
で、PCを1ヶ月以上も再起動していませんでしたw
私のメインブラウザはNoscriptアドオンを入れたFirefoxなので、こちらを使用していれば感染する事はなかったはずです。
ですが、その時だけたまたま別の用途でIEを使っていたのです。
そしてそのIEで、ちょっとエロい系のサイトを回ってしまったと言う救いようが無いアホな行為を!!
十年以上も痛い目を見てなかったので慢心してましたね・・・・情けない。
まぁ、そのおかげで前から導入しようと思っていたSSDを導入出来たので怪我の功名かな!!!!
みなさんはこんな痛い目に合わないように、Flashの更新をしておきましょうね!
バージョの確認は以下のサイトで行えます。
● Adobe - Flash Player
素のIEを使ってる人は、それをどぶ川に捨てて、Noscriptアドオンを入れたFirefox使いましょう (`・ω・´)
Flash系の広告を消してくれるので、動作がかなり軽くなりますよ!
~~~追記(2015/06/09)~~~~
こちらの掲示板を参考にして、KNOPIXXなるLinuxOSからCDブートでWindowsからはアクセス不可領域を確認したところ、
ProgramData\Application Data\{英数字の羅列}
というフォルダ内に、"fwcfg.dll"と英数字の名前のファイルが見つかりました。
ファイルの日付的に"fwcfg.dll"が本体ということで間違いなさそうです。
このファイル毎フォルダを削除して以前のOSで立ち上げた所、不正プログラムの増殖は止まりました!
エクスプローラーも軽くなり、快適です ( ◜◡◝ )
ですが、今度はsvhost.exxeがCPU食い始めたので完全に除去は出来てないようです。
これ以上は、また時間があった時にでもKNOPIXXからブートして調べてみたいと思います。
- 関連記事
-
- C88事前チェック
- 旧・C88事前チェック
- サークルスペース付与ツールのサンクリ2015Summer対応と部分一致検索機能の追加
- 「Nuclear Exploit Kit」によるトロイの侵略を許してしまいました
- サークルスペース付与ツールのぷにケット31対応
- COMIC1☆9、コミティア112、例大祭12事前チェック
- サークルスペース付与ツールのCOMIC1☆9、コミティア112、例大祭12対応と高速化
コメント
大変だったみたいね
お疲れ
お疲れ
- URL |
- 2015/06/08(月) 23:51:09 |
- ばぶ #-
- [ 編集 ]
私もやられました
原因が分からず一週間に3回
症状は異常に重くなり起動してアイコンやタスクトレイが表示されるまで20分システムの復元を起動までさらに30分ぐらいかかりましたが
幸いシステムの復元で元に戻りました
こちらの記事を拝見してNoscriptアドオンを入れまして
今の所再現してないです
Adobe Flash Playerは自動更新してたのですがダメみたいですね
一応セキュリティソフトは反応があるのですが
最初は何に反応したのか分からず
許可やブロックどちらを選んでもその次点ですでにアウトみたいです
それとサークルスペース付与ツールダウンロードさせていただきました
ただ、Noscriptアドオンでブロックされるみたいですね
入れたばかりでNoscriptの使い方がよく分かってなくて
少々戸惑いました
原因が分からず一週間に3回
症状は異常に重くなり起動してアイコンやタスクトレイが表示されるまで20分システムの復元を起動までさらに30分ぐらいかかりましたが
幸いシステムの復元で元に戻りました
こちらの記事を拝見してNoscriptアドオンを入れまして
今の所再現してないです
Adobe Flash Playerは自動更新してたのですがダメみたいですね
一応セキュリティソフトは反応があるのですが
最初は何に反応したのか分からず
許可やブロックどちらを選んでもその次点ですでにアウトみたいです
それとサークルスペース付与ツールダウンロードさせていただきました
ただ、Noscriptアドオンでブロックされるみたいですね
入れたばかりでNoscriptの使い方がよく分かってなくて
少々戸惑いました
- URL |
- 2015/06/11(木) 17:19:54 |
- kiyohiro #-
- [ 編集 ]
おぉ・・・・お仲間が・・・・w
とりあえずはシステムの復元で元に戻せて何よりでしたね。
Flashを自動更新にしてても、更新されていなかったという感じなんですかねぇ
まぁなんにせよ、余計なJavaScriptは走らせないようにしたほうが良いですねw
ウィルス対策系ソフトでブラウザにアドオン入れて監視してくれるタイプでもダメなのかな・・・・
ちょっとまた試してみたい気もしますが、また環境入れ替えるのとても面倒なので辞めておきます・・w
あと、サークルスペース付与ツールについてなんですが、こちらは内部的にはIEを利用してるのでNoScriptアドオンには引っかからないと思います。
それとも、DropBoxからツールをダウンロードするときに引っかかるという事でしたら、確かにDropBoxに対しては許可しておかないとダメですねw
とりあえずはシステムの復元で元に戻せて何よりでしたね。
Flashを自動更新にしてても、更新されていなかったという感じなんですかねぇ
まぁなんにせよ、余計なJavaScriptは走らせないようにしたほうが良いですねw
ウィルス対策系ソフトでブラウザにアドオン入れて監視してくれるタイプでもダメなのかな・・・・
ちょっとまた試してみたい気もしますが、また環境入れ替えるのとても面倒なので辞めておきます・・w
あと、サークルスペース付与ツールについてなんですが、こちらは内部的にはIEを利用してるのでNoScriptアドオンには引っかからないと思います。
それとも、DropBoxからツールをダウンロードするときに引っかかるという事でしたら、確かにDropBoxに対しては許可しておかないとダメですねw
- URL |
- 2015/06/12(金) 03:16:57 |
- スパにゃ #-
- [ 編集 ]
DropBoxですが
許可しないとダウンロードボタンが有効にならないみたいです
最初クリックしても反応がないのでなやみました
許可しないとダウンロードボタンが有効にならないみたいです
最初クリックしても反応がないのでなやみました
- URL |
- 2015/06/12(金) 06:07:50 |
- kiyohiro #-
- [ 編集 ]
