[CAUTION] Security Tool にご用心

独立Articleを作っておきます。
ついでに、毎回同じようなことを書いている部分も独立させておきます。

2010.01.03 修正
2010.01.02 書初め

不幸にも

こんな画面が現れてしまった人


方針としてPC(特にプロセスとレジストリ)に明るくない方は、詳しい人を捕まえるか、信頼できる修理屋さんに持ち込んだほうが無難です。

以下は明るいものとして続けます。

Kill Processes
不審なプロセスを殺します。

セーフモードでの起動が阻害される(というか SafeBoot関連の全レジストリが削除されているケースもあります)ため、セーフモードでの修復はあきらめました。

rkill.comを使用する方法では、
Security Toolに感染・駆除成功(多分)
 「rkill」を何とかダウンロードして起動させる→腱鞘炎になるくらいダブルクリックを続けていると 「SecurityTool」が弱ってくる(出現率が少なくなってくる)
(苦笑)
しかし、有効な方法のようですので、根気良くがんばってください。

タスクマネージャを使うなら、強引に起動しなければなりません。
根気よく CTRL+ALT+DELを押し続けると起動できるようです(笑)
また、一見ブルースクリーンに見えて、実際には青い板を1枚張っているだけのケースもありますので、押し続けると起動するケースもあるようです。

根気の無い(私もありません)人は
セキュリティーソフトを装ったウイルス -- 本虫の雑記帳
①下記のリンクから「Process Explorer」というプログラムをダウンロードします。
http://live.sysinternals.com/procexp.exe

※.exe 直リンクに付き注意
③「procexp.exe」の名前を「explorer.exe」に変更して実行します。「procexp.exe」のままでは実行できませんでした。おそらく「Security Tool」にブロックされているのではないかと思われます。
上記の方法で、ProcExpを強引に起動します。

起動しているプロセスのうち、見覚えの無いもの、生成先のPE型の日付が新しいものを片っ端から殺していきます。
KILLする際には Kill Process Treeを選び、連携を断ちます。
子プロセスの呼び出しが定期的に行われている場合、呼び出し元の svhost.exeを探し、慎重に親プロセスを確認した後殺してください。
※正規のsvhost.exeプロセスを殺すとハングアップします。
ProcessExplorerでの監視をしばらく行い、不審なプロセスがなくなったことを確認します。

Registries
不審なレジストリを削除し、整合をとります。

が・・・今回のケースは自動でのレジストリ復旧はかなり難しいかもしれません:
Rootkit [Ikarus]
MD5:EE020CD45EEE22AB0A6A5BEB4584D3F8
※当然ですが亜種が多数存在します。

これを手動で全部修復するのは、かなり骨が折れそうです。

一応、MalwareByte'sでの修復後、表面上は復旧しているように見えるようです。
Malwarebytes' Anti-Malware
ダウンロード(CNET):
Welcome Malwarebytes Anti-Malware users
直接ダウンロード(注意:バージョンが上がったとき古いままの可能性があります)
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
※.exe 直リンクに付き注意

いずれにせよ、正常に起動させる必要がありますので、まずは Malwarebytes による復旧を図ってください。

復旧後、必要なファイルのバックアップを行い、必要ファイルをバックアップし、システムをリカバリ(クリーンインストール)することをお勧めしておきます。
これは、ほんとうに駆除できたかどうか、疑心暗鬼に陥らないためにも必要な措置だと考えています。

尚、MalwareByteで完全に駆除できるのかどうか確信がないのですが、埋め込みデバイスに "npf.sys" (MD5:0xD687BB15CD0994D1C816E99818213BF2) が含まれているのが非常に気持ち悪いです。これは、WinPcap で、WireSharkでも使用されているLANタッパ(盗聴)用ドライバです。
亜種が多いため断言はできませんが、これが1台でも機能しているネットワーク内では、その全てのパケットが監視され、平文でおくられた FTP/telnet のCredentialが漏洩する危険性があります。

After
システムが修復された後、何をしなければならないのか?

この先は Gumblarなどの他のインジェクションと同じですので、Articleを分割します。

サイトを管理している方は
インシデント発生: THE FIRST STEPを参照してください。

サイトを管理していない方は
インシデントからの回復を参照してください。

---------------------
その他資料:

(高確率で)感染経路:
8080系(現在は更に変化)インジェクションによる drive-by-download攻撃

参照:
ラジオ関西「アニたまどっとコム」、新手の改ざんでウイルス感染のおそれ
ちなみに編集部が取得した検体の場合には、Windowsの「スタートアップ」に「siszyd32.exe」を登録するのが特徴的だった。もしこれが登録されていたら、感染の可能性は極めて高い。

早くも変更:
SecurityTool -- パソコンのサポートやってます
“プロセス”タブにある『54353929.exe』『_ex-08.exe』『~TM119.exe』の三つが怪しいのでプロセスを停止、レジストリエディタを起動してこの三つが含まれる値を全て削除。SecurityToolは\All Users\Application Data内に『54353929』というフォルダが出来ているのでリネームして再起動。

BleepingComputerの削除手順
Remove Security Tool and SecurityTool (Uninstall Guide)
rkill.comとMalware Byteを使用する方法

相当てこずる様子:
I finaly uninstalled Security Tool / Security Toolをやっと削除♪

TrendMicroがまったく感知していない例;
[仕事][PC]駆除まで8時間。

シグネチャ:
TROJ_FAKEAV.MET

悲鳴が洪水と化しています:
search: "security tool"

----------
EoF

Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード padding margin 書初め 正月 休み