ウィルス(Virus)、マルウェア(Malware)、ルートキット(rootkit)、ワーム(Worm)、トロイの木馬(Trojan)、など用語が出てきます。
これ以外に、スパイウェア(Spyware)、アドウェア(Adware)、ボット(Bot)、キーロガ(Keylogger)、バックドア(Backdoor)、フィッシング(phishing)、などが今回の一連のできごとで使われた用語です。
これらがそれぞれには個別の意味があり専門分野では使い分けられていることは知っています。しかし、私が現象から原因を特定し対策を講じる過程でこの用語の壁は大きな障壁になりました。これは個々の用語の違いだけでなく、それぞれの言葉の持つ意味が日本と諸外国でも違うととや使う人の知識や意識の違いとしても出ていることです。
今回このブログでは「ウィルス」で総称しました。
問題を広く共有するためにもみんなで話し合える土壌作りが大事だとおもいます。
ウィルス撲滅のためにみんなで協力できるわかりやすいものにしましょう。
2008年12月22日 16:40
このパソコンにはたくさんのウィルスメールが送られてきます。いろいろなサイトも積極的にアクセスします。有償・無償をふくめいろいろなアンチウィルスソフトを渡り歩いています。
ウィルスに感染しそうになることは何度もありましたが、水際でアンチウィルスソフトが止めてくれました。自分でも危なそうなサイトやメールは避けてきたつもりです。
いままで大過なく過ごしてきました。
ところが今回奈落の底へ落とされました。
当初は、ウォルス感染の自覚症状はありませんでした。むしろWindowsXPの不調を考えていました。
日がたつにつれておかしいと感じいろいろと調べ始めます。
ウィルス情報を中心に調べますが、抽象的な現象からウィルスを調べることがいかに困難かを思い知ることになります。
検索過程で出会う「名もなき同士」が赤子のような扱いを受けていたことには忸怩たる思いもありました。
アンチウィルス会社も「そのような事例は把握していない」というつれないものばかりです。私も確信がないことから「本サイトとの情報を参考にしてください」とメールするのが関の山でした。
ふたを開けてみれば、一部では有名なrootkitでした。
このrootkitはウィルスと呼ぶにはあまりに強力なものでした。
rootkitがいかに強敵であるかは今回のブログでご紹介できたと思います。
みなさんのお役に立てることを願っています。
2008年12月22日 15:19:18
多くのアンチウィルスソフトはrootkitにも対応していることをうかがわせる内容が記されていますが、私の場合、有償・無償を問わずどれも今回のrootkitを感染後でも検出することは出来ませんでした。
アンチウィルスソフトで検出されませんから客観的には感染していないことになり、自分のパソコンの環境を正すようアドバイスされるだけになります。
当のアンチウィルスソフトは、感染後の検出が出来ませんから駆除することは出来ません。
今回、私の事例は多少の知識と執念でrootkitを駆除し三途の川を渡らずに済みました。私の経験をネット上で出会った名もなき同士とこれから出るであろう同士の一助になればと思いブログに記しました。
一方、ウィルスの最前線にいるアンチウィルス会社の人々が私のメールに対して非常に親切に返信していただいたことは心強くたいへん感謝していますが、私の現象に対して無関心だったことは非常に残念です。
2chや「被害対策.com(アダ被)」では、すでに十分議論され情報も出ていることを考えるとやはり戸惑いを感じてしまいます。
2chや「被害対策.com(アダ被)」はやはり特別な人の場所ですし、当事者の私は多少なりともこの分野に知識があります。rootkitを発見し駆除することに関してこういう特別な状態を早く解消しなくてはいけません。
多くの人が絶大なる信用を置いているアンチウィルスソフトがまったく機能しないことはとても危険なことです。
このままでは、2009年に本当に「WinAntivirus2009」が蔓延してしまいます。
「WinAntivirus2009」に対して、特別な技術を持った人しか発見し駆除することができない状態になりかねません。
これは、非常に危険ななことです。
<rootkitに感染したのに感染に気づかない人>
当初の私のように「調子が悪いな」ということだけで策を講じることもありませんので、重要な個人情報が秘密裏にネットに流出し知らないうちに被害を拡大させてしまうでしょう。
<rootkitに感染したことを疑う人>
私のように「どう感染したかうまく説明が出来ない」だけでなく「アンチウィルスソフトでは感染していないといっている」ため、疑う以上のことが出来ず、前述の人と同様に重要な個人情報が秘密裏にネットに流出し知らないうちに被害を拡大させてしまうでしょう。
<rootkitに感染したことを自覚できたが対処の方法がわからない人>
rootkit感染について確証がもてた人でも、ネット上からrootkit駆除ソフトを自分で探し当ててダウンロードしそれらを駆使してrootkitを駆除するということをすべての人が出来ると考えるべきではありません。
多くの人がやはり感染したことに気づきながらパソコンを使い続けるか、そのパソコンを利用することをやめるかの選択をすることになるでしょう。どちらも不本意な選択です。
現実社会では、新型の鳥インフルエンザに感染し多数の死者が出ることを予想し世界中の国家レベルで対策が急がれています。
未知のウィルスの感染に対してワクチンの準備が急ピッチで進んでいます。
パソコンのrootkitで直接死者は出ませんが、多くの普通の人が感染するということでは鳥インフルエンザと同じです。
rootkitに感染後に効くワクチンはすでに存在しますが、入手方法や治療の仕方が専門的なため多くの人が効果的な治療が出来ないでしょう。
むしろ、rootkitに感染したことに気づかないまま放置されることの危険性は鳥インフルエンザよりも深刻でしょう。
大量のジャンクメールによりパソコンメールの信頼と利便性を大きく損ねたように、rootkitによってネットやパソコンが信頼を損なってしまうかもしれません。
今回のrootkit(最新のTDSS)は夏ごろから感染しはじめ、急速に亜種を増やしているように感じます。まだ流行しているとまでは言えないぐらいの限られた範囲に伝播しているのかもしれません。
限られた範囲にある今のうちこの分野の人々が積極的に取り組むことをお願いしたいと思います。私に出来ることはこのブログを一人でも多くの人に少しでも早く役立てていただくことです。
2008年12月22日 15:19:18
私の不安をよそにすばらしい成果です。
「Malwarebytes’ Anti-Malware」の驚きの性能に脱帽です。
「Malwarebytes’ Anti-Malware」のログファイル「mbam-log-****-**-** (**-**-**).txt」を見てみます。
レジストリキー、データアイテム、ファイル、が感染しています。
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 10
2つのレジストリキーを隔離し削除しました。
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
2つのデータアイテムを隔離し削除しました。
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
10のファイルをリブート時に削除します。
Files Infected:
C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS8669.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS89e3.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Delete on reboot.
SDFixで残っていた「TDSSoiqh.dll」も削除することになっています。
SDFixで削除したとしていた「TDSSmqlt.sys 」も削除することになっています。
今回はかなり楽観的に処理結果の確認を行えます。
(1)カスペルスキーの更新はOKです(既済)
(2)AVGなどのアンチウィルス会社のHPは参照できます(既済)
(3)以前作成した「TDSS.txt」が表示されています
(4)別のフォルダで「TDSS.txt」を作成しますが消えません。
(5)カスペルスキーを起動しますがフィッシングサイトへのアクセスはありません
完了です。
元に戻った感じがします。
IE7で重たかったサイトに繰り返しアクセスします。
もとのIE7のレスポンスに戻りました。
firefoxは快調です。
終わった感じがしました。
2008年12月22日 14:53:21
「SDFix」はブート時もしくはセーフモードのWindowsXPという環境でrootkitを駆除するしくみのようなので、私にも理解しやすいrootkit駆除ソフトです。
ところが、「Malwarebytes’ Anti-Malware」はよく判りませんがWindowsXPの通常稼動でrootkitを検知し駆除するソフトのようです。
「Malwarebytes’ Anti-Malware」はコントロールパネルの「プログラムの追加と削除」の対象となるようなソフトウェアのインストールです。ダウンロードした「mbam-setup.exe」を実行します。
セットアップウィザードを順当にすすめ、途中の「update Malwarebytes’ Anti-Malware」のチェックを確認してインストールを完了します。
(1)インストールによって作成されたアイコンをクリックして「Malwarebytes’ Anti-Malware」を起動します。
(2)「Scanner」タブで、「Perform quick scan」でスキャンを開始します。
(3)途中で、エラーコード 731のダイアログボックスが表示され不安になります。
(4)何事のなかったかのように、5分強でスキャンが完了します。
(4)「Show Results」 ボタンをクリックしてスキャン結果を表示します。
(5)表示されたスキャン結果には、見覚えのある「TDSS」のファイルやレジストリが赤文字で表示されています。これらのチェックボックスがずべてonになっていることを確認して「Remove Selected」 ボタンクリックして削除します。
(6)「5つのファイルが削除できないのでリブート時に削除する」というメッセージが出てリブートを促されます。
(7)「Malwarebytes’ Anti-Malware」のログファイルが 表示されます。
(8)ログファイルを閉じて再起動します。
再起動を含め10分程度です。
rootkitの奥深さから考えると「Malwarebytes’ Anti-Malware」の処理方法と処理時間には不安がありますが、一応完了しました。
2008年12月22日 14:22:07
さきほど残った「TDSSoiqh.dll」がうまく削除されていることを願いつつ、新しく作成された「Report.txt」を開きます。
予想に反して、まったく別の展開になっていました。
[b]Name [/b]:TDSSserv.sys – Deleted
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:Trojan Files Found:
C:\WINDOWS\system32\drivers\TDSSmqlt.sys – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVD.dat – Deleted
「TDSSoiqh.dll」については、まったく触れられていません。しかし、TDSSの核になる名前「TDSSserv.sys」が出てきました。
そしてよくわかりませんが、関係するファイルを削除し、削除できなかったファイルがないようです。
このあと、相当量のレジストリに関するメッセージが出力されます。
scanning hidden services & system hive …
scanning hidden registry entries …
そして、
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
さらに、
[b]Remaining Services [/b]:の後には記載がありません。
最後に、
予想していた展開とは違いますが、なんかうまくいったように見えます。
さて、確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました
前回から進歩がありません。
確認のため「regedit」を使ってTDSSを検索してみます。すると、なにやら「TDSS系」レジストリがいくつかあります。中にはTDSSserv.sys」まで検索されました。いままではレジストリの検索でも引っかからなかった「TDSS」ですが、SDFixにより表に出てきたという感じです。「TDSSserv.sys」のレジストリキーを思い切って削除してみましたが、「regedit」にダメだといわれました。
結構いいところまでいったつもりでしたが、新たに出現した次の障壁にぶつかったようでした。ここでSDFixのつぎの手として「Malwarebytes’ Anti-Malware」に出動を要請することにしました。
2008年12月22日 14:00:07
SDFixの処理の結果、rootkitが発見され駆除されたように見えますが、いやなメッセージも見えます。
まずは、最初のログになる「Report_1.txt」です。
ファイルをチェックして、トロイを見つけ削除したようです。
[b]Checking Files [/b]:Trojan Files Found:
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp12.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1A.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp2.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp3.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpA.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpB.tmp – Deleted
C:\WINDOWS\system32\TDSSbrsr.dll – Deleted
C:\WINDOWS\system32\TDSSriqp.dll – Deleted
C:\WINDOWS\system32\TDSSxfum.dll – Deleted
C:\WINDOWS\system32\TDSSlxwp.dll – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\system32\TDSStkdu.log – Deleted
ところが、削除できなかったものがあるようです。
Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll
さらに、よくわからないエラーメッセージが出ています
「disk error」がいやな感じがします。しかし、この対象はレジストリファイルのような気がしますのでWindowsXPが起動中は処理できなかったことを示しているようにも見えます。
scanning hidden processes …
scanning hidden services & system hive …
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries …
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\***\ntuser.dat, 0
scanning hidden files …
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
このあと、レジストリのエクスポートについてのメッセージが複数あります
Authorized Application Key Export:
そして、最もいなやメッセージです
TDSSのファイルが残ったということです
ファイルをバックアップし、ファイルの属性についてのメッセージがあり、終了しました。
File Backups: – C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]
これでは、「TDSSoiqh.dll」を残したままになります。そこで、SDFixは自動的に再起動したのだと思います。
では、再起動後おログになる「Report.txt」です。
[b]Checking Files [/b]:Trojan Files Found:
Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll
のメッセージの後は前回とほぼ同じです。
今回も「TDSSoiqh.dll」を削除することが出来なかったということです。
少々不安がありますが、処理結果の確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました
あともう少しのようですが完全ではありません。
そこで、もういちどSDFixに処理をしてもらいこうとにしました。
2008年12月22日 12:14:27
まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。
しかし、初っ端からなんか不気味な感じで始まります。
念のためカスペルスキーを停止します。
SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。
SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。
これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)
予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。
再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。
さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。
2008年12月22日 11:40:06
完全に駆除しました。
終了です。
長かったです。
さて、ここからは完全にきれいになったパソコンからrootkitを駆除した手順を記します。
SDFix、Malwarebytes’ Anti-Malware、ComboFix、をダウンロードして準備します。
実際は、SDFix、Malwarebytes’ Anti-Malwareの2つで駆除できましたのでこの2つをダウンロードして準備します。
ここからは、以下のサイトを参考にさせていただきました
AndyManchesta
(セキュリティツールに関する情報がたくさんありました)
http://andymanchesta.com/
被害対策.com
(いわゆるもと「アダ被」です)
http://www.higaitaisaku.com/
SDFix(SDFix.exe)のダウンロード
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm
Malwarebytes’ Anti-Malware(mbam-setup.exe)のダウンロード
http://www.malwarebytes.org/index.php
ダウンロードサイトは
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
今回は、ここのツールをダウンロードして使いました。
しかし、かなり強力なセキュリティツールですから今後利用される方はくれぐれもセキュリティに配慮してダウンロードおよび利用してください。
2008年12月22日 10:54:08