[CAUTION] Security Tool にご用心
独立Articleを作っておきます。
ついでに、毎回同じようなことを書いている部分も独立させておきます。
2010.01.03 修正
2010.01.02 書初め
不幸にも
こんな画面が現れてしまった人
方針としてPC(特にプロセスとレジストリ)に明るくない方は、詳しい人を捕まえるか、信頼できる修理屋さんに持ち込んだほうが無難です。
以下は明るいものとして続けます。
Kill Processes
不審なプロセスを殺します。
セーフモードでの起動が阻害される(というか SafeBoot関連の全レジストリが削除されているケースもあります)ため、セーフモードでの修復はあきらめました。
rkill.comを使用する方法では、
Security Toolに感染・駆除成功(多分)
「rkill」を何とかダウンロードして起動させる→腱鞘炎になるくらいダブルクリックを続けていると 「SecurityTool」が弱ってくる(出現率が少なくなってくる)
(苦笑)
しかし、有効な方法のようですので、根気良くがんばってください。
タスクマネージャを使うなら、強引に起動しなければなりません。
根気よく CTRL+ALT+DELを押し続けると起動できるようです(笑)
また、一見ブルースクリーンに見えて、実際には青い板を1枚張っているだけのケースもありますので、押し続けると起動するケースもあるようです。
根気の無い(私もありません)人は
セキュリティーソフトを装ったウイルス -- 本虫の雑記帳
①下記のリンクから「Process Explorer」というプログラムをダウンロードします。
http://live.sysinternals.com/procexp.exe
※.exe 直リンクに付き注意
③「procexp.exe」の名前を「explorer.exe」に変更して実行します。「procexp.exe」のままでは実行できませんでした。おそらく「Security Tool」にブロックされているのではないかと思われます。
上記の方法で、ProcExpを強引に起動します。
起動しているプロセスのうち、見覚えの無いもの、生成先のPE型の日付が新しいものを片っ端から殺していきます。
KILLする際には Kill Process Treeを選び、連携を断ちます。
子プロセスの呼び出しが定期的に行われている場合、呼び出し元の svhost.exeを探し、慎重に親プロセスを確認した後殺してください。
※正規のsvhost.exeプロセスを殺すとハングアップします。
ProcessExplorerでの監視をしばらく行い、不審なプロセスがなくなったことを確認します。
Registries
不審なレジストリを削除し、整合をとります。
が・・・今回のケースは自動でのレジストリ復旧はかなり難しいかもしれません:
Rootkit [Ikarus]
MD5:EE020CD45EEE22AB0A6A5BEB4584D3F8
※当然ですが亜種が多数存在します。
これを手動で全部修復するのは、かなり骨が折れそうです。
一応、MalwareByte'sでの修復後、表面上は復旧しているように見えるようです。
Malwarebytes' Anti-Malware
ダウンロード(CNET):
Welcome Malwarebytes Anti-Malware users
直接ダウンロード(注意:バージョンが上がったとき古いままの可能性があります)
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
※.exe 直リンクに付き注意
いずれにせよ、正常に起動させる必要がありますので、まずは Malwarebytes による復旧を図ってください。
復旧後、必要なファイルのバックアップを行い、必要ファイルをバックアップし、システムをリカバリ(クリーンインストール)することをお勧めしておきます。
これは、ほんとうに駆除できたかどうか、疑心暗鬼に陥らないためにも必要な措置だと考えています。
尚、MalwareByteで完全に駆除できるのかどうか確信がないのですが、埋め込みデバイスに "npf.sys" (MD5:0xD687BB15CD0994D1C816E99818213BF2) が含まれているのが非常に気持ち悪いです。これは、WinPcap で、WireSharkでも使用されているLANタッパ(盗聴)用ドライバです。
亜種が多いため断言はできませんが、これが1台でも機能しているネットワーク内では、その全てのパケットが監視され、平文でおくられた FTP/telnet のCredentialが漏洩する危険性があります。
After
システムが修復された後、何をしなければならないのか?
この先は Gumblarなどの他のインジェクションと同じですので、Articleを分割します。
サイトを管理している方は
インシデント発生: THE FIRST STEPを参照してください。
サイトを管理していない方は
インシデントからの回復を参照してください。
---------------------
その他資料:
(高確率で)感染経路:
8080系(現在は更に変化)インジェクションによる drive-by-download攻撃
参照:
ラジオ関西「アニたまどっとコム」、新手の改ざんでウイルス感染のおそれ
ちなみに編集部が取得した検体の場合には、Windowsの「スタートアップ」に「siszyd32.exe」を登録するのが特徴的だった。もしこれが登録されていたら、感染の可能性は極めて高い。
早くも変更:
SecurityTool -- パソコンのサポートやってます
“プロセス”タブにある『54353929.exe』『_ex-08.exe』『~TM119.exe』の三つが怪しいのでプロセスを停止、レジストリエディタを起動してこの三つが含まれる値を全て削除。SecurityToolは\All Users\Application Data内に『54353929』というフォルダが出来ているのでリネームして再起動。
BleepingComputerの削除手順
Remove Security Tool and SecurityTool (Uninstall Guide)
rkill.comとMalware Byteを使用する方法
相当てこずる様子:
I finaly uninstalled Security Tool / Security Toolをやっと削除♪
TrendMicroがまったく感知していない例;
[仕事][PC]駆除まで8時間。
シグネチャ:
TROJ_FAKEAV.MET
悲鳴が洪水と化しています:
search: "security tool"
----------
EoF