タグ別アーカイブ: SDFix

21. Malwarebytes’ Anti-Malware 結果編

私の不安をよそにすばらしい成果です。
「Malwarebytes’ Anti-Malware」の驚きの性能に脱帽です。

「Malwarebytes’ Anti-Malware」のログファイル「mbam-log-****-**-** (**-**-**).txt」を見てみます。

レジストリキー、データアイテム、ファイル、が感染しています。

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 10

2つのレジストリキーを隔離し削除しました。

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

2つのデータアイテムを隔離し削除しました。

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

10のファイルをリブート時に削除します。

Files Infected:
C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS8669.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS89e3.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Delete on reboot.

SDFixで残っていた「TDSSoiqh.dll」も削除することになっています。
SDFixで削除したとしていた「TDSSmqlt.sys 」も削除することになっています。

今回はかなり楽観的に処理結果の確認を行えます。
(1)カスペルスキーの更新はOKです(既済)
(2)AVGなどのアンチウィルス会社のHPは参照できます(既済)
(3)以前作成した「TDSS.txt」が表示されています
(4)別のフォルダで「TDSS.txt」を作成しますが消えません。
(5)カスペルスキーを起動しますがフィッシングサイトへのアクセスはありません

完了です。
元に戻った感じがします。

IE7で重たかったサイトに繰り返しアクセスします。
もとのIE7のレスポンスに戻りました。
firefoxは快調です。

終わった感じがしました。

2008年12月22日 14:53:21

20. Malwarebytes’ Anti-Malware 処理編

「SDFix」はブート時もしくはセーフモードのWindowsXPという環境でrootkitを駆除するしくみのようなので、私にも理解しやすいrootkit駆除ソフトです。
ところが、「Malwarebytes’ Anti-Malware」はよく判りませんがWindowsXPの通常稼動でrootkitを検知し駆除するソフトのようです。

「Malwarebytes’ Anti-Malware」はコントロールパネルの「プログラムの追加と削除」の対象となるようなソフトウェアのインストールです。ダウンロードした「mbam-setup.exe」を実行します。
セットアップウィザードを順当にすすめ、途中の「update Malwarebytes’ Anti-Malware」のチェックを確認してインストールを完了します。

(1)インストールによって作成されたアイコンをクリックして「Malwarebytes’ Anti-Malware」を起動します。
(2)「Scanner」タブで、「Perform quick scan」でスキャンを開始します。
(3)途中で、エラーコード 731のダイアログボックスが表示され不安になります。
(4)何事のなかったかのように、5分強でスキャンが完了します。
(4)「Show Results」 ボタンをクリックしてスキャン結果を表示します。
(5)表示されたスキャン結果には、見覚えのある「TDSS」のファイルやレジストリが赤文字で表示されています。これらのチェックボックスがずべてonになっていることを確認して「Remove Selected」 ボタンクリックして削除します。
(6)「5つのファイルが削除できないのでリブート時に削除する」というメッセージが出てリブートを促されます。
(7)「Malwarebytes’ Anti-Malware」のログファイルが 表示されます。
(8)ログファイルを閉じて再起動します。

再起動を含め10分程度です。
rootkitの奥深さから考えると「Malwarebytes’ Anti-Malware」の処理方法と処理時間には不安がありますが、一応完了しました。

2008年12月22日 14:22:07

18. SDFix 再処理編

今回は、SDFixはすでにインストールされているのでセーフモードによる再起動からです。

セーフモードでの再起動の後、「SDFix 処理編」と同様の操作を行う。
今回も、予想に反してSDFixによる再起動は2回でした。

2008年12月22日 13:52:07

17. SDFix 結果編

SDFixの処理の結果、rootkitが発見され駆除されたように見えますが、いやなメッセージも見えます。

まずは、最初のログになる「Report_1.txt」です。

ファイルをチェックして、トロイを見つけ削除したようです。

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\***\LOCALS~1\Temp\tmp1.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp12.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1A.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp2.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp3.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpA.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpB.tmp – Deleted
C:\WINDOWS\system32\TDSSbrsr.dll – Deleted
C:\WINDOWS\system32\TDSSriqp.dll – Deleted
C:\WINDOWS\system32\TDSSxfum.dll – Deleted
C:\WINDOWS\system32\TDSSlxwp.dll – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\system32\TDSStkdu.log – Deleted

ところが、削除できなかったものがあるようです。

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

さらに、よくわからないエラーメッセージが出ています
「disk error」がいやな感じがします。しかし、この対象はレジストリファイルのような気がしますのでWindowsXPが起動中は処理できなかったことを示しているようにも見えます。

scanning hidden processes …
scanning hidden services & system hive …
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries …
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\***\ntuser.dat, 0
scanning hidden files …
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan

このあと、レジストリのエクスポートについてのメッセージが複数あります
Authorized Application Key Export:

そして、最もいなやメッセージです
TDSSのファイルが残ったということです

[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoiqh.dll Found

ファイルをバックアップし、ファイルの属性についてのメッセージがあり、終了しました。
File Backups: – C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]

これでは、「TDSSoiqh.dll」を残したままになります。そこで、SDFixは自動的に再起動したのだと思います。

では、再起動後おログになる「Report.txt」です。

[b]Checking Files [/b]:

Trojan Files Found:

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

のメッセージの後は前回とほぼ同じです。
今回も「TDSSoiqh.dll」を削除することが出来なかったということです。

少々不安がありますが、処理結果の確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

あともう少しのようですが完全ではありません。
そこで、もういちどSDFixに処理をしてもらいこうとにしました。

2008年12月22日 12:14:27

16. SDFix 処理編

まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。

しかし、初っ端からなんか不気味な感じで始まります。

念のためカスペルスキーを停止します。

SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。

SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。

これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)

予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。

再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。

さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。

2008年12月22日 11:40:06

15. 完全に駆除しました

完全に駆除しました。
終了です。
長かったです。

さて、ここからは完全にきれいになったパソコンからrootkitを駆除した手順を記します。

SDFix、Malwarebytes’ Anti-Malware、ComboFix、をダウンロードして準備します。
実際は、SDFix、Malwarebytes’ Anti-Malwareの2つで駆除できましたのでこの2つをダウンロードして準備します。

ここからは、以下のサイトを参考にさせていただきました

AndyManchesta
(セキュリティツールに関する情報がたくさんありました)
http://andymanchesta.com/

被害対策.com
(いわゆるもと「アダ被」です)
http://www.higaitaisaku.com/

SDFix(SDFix.exe)のダウンロード
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm

Malwarebytes’ Anti-Malware(mbam-setup.exe)のダウンロード
http://www.malwarebytes.org/index.php
ダウンロードサイトは
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

今回は、ここのツールをダウンロードして使いました。
しかし、かなり強力なセキュリティツールですから今後利用される方はくれぐれもセキュリティに配慮してダウンロードおよび利用してください。

2008年12月22日 10:54:08

14. rootkitの恐ろしさ

ステルス状態にありますから、私たち人間はその存在を確認することが出来ません。これはWindowsXPを通して動作するアンチウィルスソフトも同じようです。
WindowsXP上では、ウィルスの存在が確認できませんから、ウォルス検知が出来ませんし、駆除することも出来ません。
アンチウィルスソフトでは、rootkitを派遣駆除することが出来ないことがわかりました。

では、どうすればよいか調べました。
すでに先人たちがいろいろな経験と情報を残してくれています。

rootkit駆除ソフトにも相性があるようです。
侵されているウィルス、パソコン環境、などにより簡単に出来たり手こずったり、あるいはウィルス駆除がうまくいったりいかなかったり、と様々なようです。これらの情報の中から、信頼されて広く使われており、操作が簡単なものを選んでみました。

そういう視点で私が選んだのは
SDFix、Malwarebytes’ Anti-Malware、ComboFix、でした。

さて、これをはじめることとします。

2008年12月21日 18:19:31