スパにゃの戯言

「Nuclear Exploit Kit」によるトロイの侵略を許してしまいました

はい、タイトル通りなのですが、十数年ぶりに虫に食われました (´・ω・`)
しかもかなりやっかいなヤツでした・・・・
Web上で症状を検索すると、新型のトロイなのかもしれません。
とりあえずはシステムを破壊するものではないのですが、個人情報が抜き取られる恐怖がっ


感染後の症状はと言いますと、エクスプローラーの動作が非常に重くなり、CPUが起動した覚えないプロセスで占有されてしまうという感じです。
特に、エクスプローラーの重さが半端なくて、マイコンピューターを開くのにも一苦労でした。
その症状に気づいたときには、丁度WindowsUpdateを行った直後だったので、「MSがまた何かやらかしたのか!」と思っていたのですが、
タスクマネージャーを見てそうじゃないとすぐわかりました。



OS起動後のタスクマネージャーの様子が以下です。

taskmgr1_1.jpg
cmd.exeやconhost.exe、msiexec.exeが複数立ち上がり、explorer.exeが2つもあります。
突っ込みどころ満載です! 
この時は出てなかったのですが、notepad.exeも起動している時もありました(勿論、偽者です)



これをProcessExplorerで見ると以下のようになっています。

process_explorer1.jpg
taskmgr.exeとprcexp.exeの間にあるものは、全部不正プログラムです。
手動でポチポチ消しても、すぐにまた新しいプロセスが立ち上がってくるのでいたちごっこに。


そんな不毛な作業をしてるうちに気づいたのですが、こいつらはexplorer.exeの子供としてぽんぽん生まれてくるので、大本を消しちゃえ!
って事で、親プロセスであるエクスプローラーを消してみたところ・・・・

process_explorer2.jpg
スッキリ全部消えて、それ以降立ち上がらなくなりました!

これで解決! 完!!   


・・・と言うわけにもいきません ('A')



エクスプローラーを消すって事は、タスクバーが勿論消えます。
スタートメニューも出せなければクイック起動バーも使えずに時計も見れません。
タスクマネージャーやProcessExplorerを起動してれば、「ファイル名を指定して実行」で直接プログラムの起動は出来ますが、流石に限度があります。
(私はOrchisランチャーを使用して、プログラムのショートカットを登録していたものは起動出来たので、数日そのままで過しました。)


その「ファイル名を指定して実行」で、再度エクスプローラーを起動してみました。
process_explorer3.jpg





process_explorer4.jpg
はい、うじゃうじゃ起動してきました。
explorerは完全に使用禁止ですね。





このままでは困るので害虫駆除に取り掛かったのですが、アンチウィルスソフトを何個か試した結果、成果は上がらずでした (´・ω・`)

私が使っているOSはWindows7でして、その通常アクセス禁止な領域(Documents and Settingsの奥深く)に本体が居るために、手が届かない状態なんだとか。
それに対処するには、Avastのブートスキャン(OSが起動する前にウィルス駆除するやつ)を使うと、駆除出来るとの事だったので試してみたのですが、
6時間を2セット繰り返して検査しても、私の場合は駆除は出来ませんでした orz


「よろしい、ならばシステムの復元だ」と思ったら、ご丁寧に復元ポイントも破壊してくれました (#^ω^)ビキビキ

結局、OSの再インストールと言う最終手段を行って事態は収拾しました・・・無念





今回のトロイの進入経路ですが、流行り?の「Nuclear Exploit Kit」によるものでした。
Adobe Flash Playerの脆弱性を利用してトロイを送りつけてくるヤツです。
Flashで作成された広告をブラウザで見ただけで感染してくるアクティブな野郎です。
送り込まれたトロイは「Bedep-A」ってのらしいですけど、これであってるのかはいまいちわかりません。
物理的に違うドライブにOSを入れなおし、感染があったドライブに対してAvastとノートンとウィルスバスターでスキャン掛けても検出が出来ませんでした。



このFlashの脆弱性は4月のパッチで対応されたらしいのですが、私は更新していませんでした。
以前に不具合パッチやられてから自動更新は切っていて、PCの再起動時に更新する様にしてたんですよね・・・
で、PCを1ヶ月以上も再起動していませんでしたw

私のメインブラウザはNoscriptアドオンを入れたFirefoxなので、こちらを使用していれば感染する事はなかったはずです。
ですが、その時だけたまたま別の用途でIEを使っていたのです。
そしてそのIEで、ちょっとエロい系のサイトを回ってしまったと言う救いようが無いアホな行為を!!


十年以上も痛い目を見てなかったので慢心してましたね・・・・情けない。
まぁ、そのおかげで前から導入しようと思っていたSSDを導入出来たので怪我の功名かな!!!!



みなさんはこんな痛い目に合わないように、Flashの更新をしておきましょうね!
バージョの確認は以下のサイトで行えます。

Adobe - Flash Player


素のIEを使ってる人は、それをどぶ川に捨てて、Noscriptアドオンを入れたFirefox使いましょう (`・ω・´)
Flash系の広告を消してくれるので、動作がかなり軽くなりますよ!



~~~追記(2015/06/09)~~~~


こちらの掲示板を参考にして、KNOPIXXなるLinuxOSからCDブートでWindowsからはアクセス不可領域を確認したところ、

ProgramData\Application Data\{英数字の羅列}

というフォルダ内に、"fwcfg.dll"と英数字の名前のファイルが見つかりました。
ファイルの日付的に"fwcfg.dll"が本体ということで間違いなさそうです。

このファイル毎フォルダを削除して以前のOSで立ち上げた所、不正プログラムの増殖は止まりました!
エクスプローラーも軽くなり、快適です ( ◜◡◝ )

ですが、今度はsvhost.exxeがCPU食い始めたので完全に除去は出来てないようです。
これ以上は、また時間があった時にでもKNOPIXXからブートして調べてみたいと思います。





  1. 2015/06/07(日) 20:51:30|
  2. 雑記
  3. | コメント:5

近影

ぬこ



カレンダー

05 | 2015/06 | 07
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 - - - -

最新記事

カテゴリ

雑記 (391)
戦利品 (1281)
戦利品(同人系) (762)
戦利品(成年コミック系) (83)
戦利品(一般コミック系) (137)
戦利品(成年雑誌系) (137)
戦利品(一般雑誌系) (53)
戦利品(CD/DVD/BD系) (22)
戦利品(その他) (87)
イベント参加 (54)
未分類 (2)

萌え物

天使の3P! 潤 抱き枕カバー
天使の3P! 潤 抱き枕カバー

天使の3P! 希美 抱き枕カバー
天使の3P! 希美 抱き枕カバー

天使の3P! そら 抱き枕カバー
天使の3P! そら 抱き枕カバー

びじゅあるロウきゅーぶ!
びじゅあるロウきゅーぶ!

ロウきゅーぶ!SS 袴田ひなた抱き枕カバー
ロウきゅーぶ!SS 袴田ひなた抱き枕カバー

ロウきゅーぶ!SS 三沢真帆抱き枕カバー
ロウきゅーぶ!SS 三沢真帆抱き枕カバー

ロウきゅーぶ!SS 湊智花抱き枕カバー
ロウきゅーぶ!SS 湊智花抱き枕カバー

 

検索フォーム

月別アーカイブ

リンク

このブログをリンクに追加する

最新コメント

RSSリンクの表示