タグ別アーカイブ: カスペルスキー

16. SDFix 処理編

まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。

しかし、初っ端からなんか不気味な感じで始まります。

念のためカスペルスキーを停止します。

SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。

SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。

これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)

予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。

再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。

さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。

2008年12月22日 11:40:06

09. 容疑者さえも逮捕できず

犯行の様子がわかってきましたが、犯人どころか容疑者さえも逮捕できません

あれからいろいろとアンチウィルスソフトで検出を試みましたがうまくいきませんでした。
今日、カスペルスキーで犯行(フィッシング)が行われていることを認識することできました。
しかし、犯人(フィシングをさせている実態)を特定できていませんから駆除ができません。

この犯行を未然に防ぐことができませんでしたし、いまだに駆除もできないのは残念至極です
ウィルス対策に100%がないことは認識し一定の理解もしていますが、自分がその最前線に来てしまったようです
罰すべきはウィルスをばらまく輩です チクショー(畜生! チキショー?)

ログの「tdss2」の文字列から、かつてばらまかれたトロイのようにも見えます。
だとするとカスペルスキーをはじめ多くのアンチウィルスソフトが駆除できてもいいように思います。

最近出た亜種だとしても、ヒューリスティック分析機能を持っていれば何らかの認識を持ってもいいように思います。
ただ、情報が極めて少なく(つまり私とネット上の4人)とても広く流通しているとは思えませんのでそこまで望むべきではないのかもしれません

現状では隔世の感があります

「きわめて出来の悪い流通方法に乗った、極めて出来のいいウィルスに、極めて初期の段階で、感染してしまった」って感じです
この中途半端な状態から早く脱出したい

これだけ打ちのめされているのにこの感覚を共有できているのは私とネット上の4人だけです
ネット上でまったく話題になっていないのがうそのようです
ネットで最初に遭遇した名もなき2人は、暗中模索のなか救いの手を伸ばしていましたが世間の風は冷たく吹いていました
2chで遭遇した3人目もだれにも声をかけてもらえませんでした
親切な人に悩みを聞いてもらえた4人目も暗礁に乗り上げたままのようです(WindowsXPのクリアインストールの方向で考えていたようですが・・・)
みんなこのページにたどり着いてくれれば少しは安心できるかもしれません

ただ、解決はしてません!
あしからず

2008年12月19日 18:12:38

08. フィシングサイトにやられました

findsproportal1.com はどうもフィッシングサイトのようです
ただフィッシングサイトにしてはこのサイトに対する情報が非常に少ないです(by Google)
しかも、このサイトについてコメントしている日本語のページがありません(by Google)

カスペルスキーが一応遮断してくれるので少し安心ですが、ルータでもフィルタリングします

findsproportal1.comのipアドレスを逆引きしました
72.233.114.126

このアドレスにかかわるすべての通信を遮断します
これでさらにもう少し安心です

このフィルタを入れた後、Google検索をしたところカスペルスキーの表示が変わりました。ログで確認すると「ログ3」が確認できました

カスペルスキーで遮断しているとはいうものの、完全ではなかったのかもしれません

「ログ2」では明らかに私の入力情報かパソコンの情報をパラメータとして送っています
一方、「ログ3」ではindex.phpにアクセスするところになっています

どっちがいいのかわるいかはわかりません
また、本当にパケットフィルタリングによるものかも確信はありません

いずれにしても、できる限りのことはしておいたほうがいいでしょう

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:11:38

07. 一筋の光明が見えてきました

カスペルスキーのデータベースを最新版に更新できました
(カスペルスキー専用サポートセンターの方にネットワークで更新できない場合の更新方法を親切に教えていただきました)

(ほかのアンチウィルス会社のサポートの方も私のメールに対してご支援をいただいております。この場を借りてお礼を述べさせていただきます)

これで完全スキャンをしました
Office,Winamp,realaudio,quicktime,で脆弱性の指摘を受けました
脆弱性ですからウィルス感染はまだしていないということでしょう
っで、ウィルスですが、・・・発見できませんでした

では、なぜ光明かというと
フィッシングに網に引っかかったのでした

現象を説明します
(1)インターネット・エクスプローラを立ち上げます
(2)空白のページ(私の設定)になります
(3)お気に入りからwww.google.co.jpにアクセスします
(4)googleのトップページが表示されます
(5)ニュースなどリンクをマウスでクリックしてページを移動します
(6)リンクによるページ移動を繰り返します
(7)googleのトップページに戻します
(8)「フィッシング」で検索します
(9)カスペルスキーから「・・・Generic Host Process for Win32 Services・・・遮断しました・・・」のメッセージが表示されます
(10)ログで確認すると「ログ2」が確認できました
(11)さらに気がつきませんでしたがログの最初のほうに「ログ1」も確認できました

インターネット・エクスプローラから「入力されたデータ」を「findsproportal1.com」へ秘密裏にデータを送ろうとしていたのです

<カスペルスキーによる画面の警告表示>

アプリケーション Generic Host Process for Win32 Services はWebページhttp://findxproportal1.com/index.phpへのリンクがあり、クレジットカード番号、パスワード、その他の機密データを盗用しようとする内容が含まれています 遮断しました

********* ログ **********

カスペルスキーのアンチフィッシングのログです
(どこまで公開して安全かわからないので一部情報を削除しています)

ログ1
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ2
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース
http://findsproportal1.com/?mode=gen&gd=***=&affid=***=&subid=***&prov=***=&ua=*** Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース

ログ3
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 検知しました: findzproportal1.com/* データベース
http://findzproportal1.com/index.php Generic Host Process for Win32 Services 遮断しました: findzproportal1.com/* データベース

********* ログ **********

2008年12月19日 18:10:38