マルウェアに感染していたPC

vbsスクリプトを使ったワームに感染していたという話でその人のPCを調べたら確かに感染している。
TRENDMICROのtscでは検出されなかったけど、感染している。
やっぱりそこまで信用できるものではないなぁと感じるが、危険度が低いから未だに放置?さすがにそれは問題だ。
んでこの今回のマルウェアはトレンドマイクロで言うVBS_SOLOW.AJという種類に近くて、scriptの先頭が
‘ker
と書かれていけど、今までのものとほとんど同じだと思うので情報を参考にしてすぐ消すことが出来た。
まずは、Ctrl+Alt+Delでタスクマネージャを開いてwscript.exeというプロセスを全部終了させる。
これをしないと10000ミリ秒ごとに動いているプロセスに修正箇所をまた汚染されてしまうから、とりあえずこれは終了させ説かねばならない。
次はレジストリに記憶されているAutoRunを解除する。
“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunMS32DLL”
“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunwinboot”
こんなキーが作成されていたら感染しています。これが判断基準になると思う。見つけやすいし。
それぞれこんな内容と思う。vbs名が違う種類もあるみたい。
winpath&”.MS32DLL.dll.vbs”
“wscript.exe “&winpath&”boot.ini”
後はほかの隠しファイルを一切見えなくしているポリシーを元に戻す。
“HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesExplorerNoDriveTypeAutoRun”,0
これを95に
“HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedSuperHidden”,1
これは初期値を調べていないのだが、1にされているので、0にしてみた。
“HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedShowSuperHidden”,0
これは1にする。
“HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedHideFileExt”,”1″
これは0に。
“HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedHidden”,”1″
最後にこれを0に戻す。
後はおそらくC:(システムドライブルート)にあるAUTORUN.INFをチェック。
感染しているPCの場合、ファイルの表示設定が隠しファイルやフォルダの非表示かつシステムファイルの非表示という設定になっているので、フォルダオプションでそれぞれ表示するように変更することでファイルも確認できる。
boot.iniを起動するようになっているAUTORUN.INFであれば、削除する。
後はC:Windows(もしくはC:WINNTかな)にこのboot.iniの本体と.MS32DLL.dll.vbs(先頭がドット)ファイルがあるので、それらを消す。
これで再起動したときに今まで修正してきた箇所が元に戻っていたり、
boot.iniが見つかりませんなんてメッセージが出たら、まだ消し切れていないので再チェック。
boot.iniをファイル名を変えてほかの箇所に保存、中身を読めば何をされているかがわかるのでだいぶわかりやすい。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です