GunGunMeteoの備忘録

■[仕事][PC]駆除まで８時間。

　職場のPCで「Security Tool」なるマルウェアに感染したものが見つかった。

　該当PCはWindowsXP SP3でTrendMicroのウイルスバスターコーポレートエディション7.3を導入済み。

　利用者からの通報までを聞き取ったところおおよそ次のとおり。

　

　今日最初の起動で、タスクトレイにいかにもWindows セキュリティセンターそっくりの常駐アイコンが起動し、マウスカーソルをポイントすると「Security Tool」とチップ表示されるようになった。

　その後日常業務を開始して１時間もしないうちに「Security Tool」ウィンドウが繰り返し起動するようになった。ウィンドウの表記は全て英語で、ウイルスにありがちなやっつけ仕事のチャチさが感じられない、いかにも製品っぽいデザイン。しかし閉じるを選択→ウイルス対策を終了していいか？→閉じる→何か処理をするたびに「Security Tool」起動…を繰り返すようになり、PCの操作ができなくなった。

　

　現地でウィンドウの内容を読むと、ディスク内のシステムファイルを初めとした多数のファイルがトロイの木馬やウイルスに感染しており、直ちに駆除を要する…といった意味のもので、実際に存在するSystemフォルダ内の各種ファイルと感染したというトロイの木馬やウイルス名称が多数列挙され、駆除処理のために製品版へのアクティベーションを要求される。アクティベーション画面を見ると国籍や氏名、メールアドレスにクレジットカード番号を入力させられるのだが、不思議なことにそこに到るまでのどの画面を見ても、この「Security Tool」の開発元や販売元の情報が全く見当たらない。

　その間にもタスクトレイにはまた一つアイコンが増えており、そちらも「Security Tool」と表示されているが、どちらもマウス操作では終了することができなかった。

　ウイルスバスターは今のところ何も反応しないが、個人的な直感ではどうみてもウイルスに間違いない。

　駆除作業を始めることにし当該PCを回収。

　

　手始めに実行中のプロセスを見るためタスクマネージャを起動したところブルースクリーンエラーが発生。レポートを見ると「spcdcom.sys」なるファイルでエラーが起きているように見えるが…どうも画面表示がおかしい。

　ブルースクリーンエラーでは画面フォントはDOS向け低精細Systemフォントのはずだが、この画面はこれとは異なる高精細欧文フォントで、背景の青もエラー時の色調とは微妙に異なるような…。

　まぁ止まってしまったものは仕方がない。

　利用者が作業中だったExcelのファイルは諦めてもらうことにして、キーを押すと何故か一瞬でエラー前の状態に復帰。そんな馬鹿な。

　クソこのウイルス野郎、でっち上げのブルースクリーンエラーで「PCは異常です！」とユーザを煽ってやがるぜ…。

　スタートメニューに不審なプログラムがないか調べると、「C:\Document and Settings\ユーザ名\Application Data\58954031\58954031.exe」へのショートカットが作成されていた。

　まともなソフトウェア製品がユーザデータ領域にプログラム実体を置いてショートカットを作るわけがない。ショートカットの作成日は今日で、これもこのウイルス？の一部かもしれない。あるいは同時感染している別のウイルスなのだろうか。

　ひたすらウィンドウ表示を繰り返す中をどうにかWindowsをシャットダウン。しかし誤って再起動を選択したようで、よそ見をしている間にPCが再び起動…したかと思ったが、デスクトップの表示にたどり着いたところでまたSecurity Toolが起動を始めており、Systemプロセスが読んだファイルを片っぱしからウイルス判定して警告を出し始めた。もちろんtaskmgr.exeも起動と同時に殺されるため、全く操作ができない状態となった。

　該当PC自身での駆除は断念。電源を叩き切ってHDDを取り外し、ウイルスバスター2006を最新化しているWindows2000の別PC…FinalData8で１ヶ月ぶっ通しで故障HDDの復元を続けていた我がThinkPad X20だが…に接続してウイルス検索。しかしやはり検出なし。

　ウイルスバスターでは検出できないらしい。

　他に使えるツールはSpyBot S&Dだが、こちらは生憎と最新版へのアップデートができておらず、スキャンできなかった。

　WEB上で「Security Tool」をキーワードに検索しながら、手動での駆除を試みる。

　何せありふれたキーワードなのでまともな情報に行き当たるか疑問だったが、Google様は「"Security Tool" 削除」でかなりの情報を出してくれた。

　http://bookbug.cocolog-nifty.com/blog/2009/10/post-c84a.html には大変お世話になりました。

　どうやらこの１〜２ヶ月の間に感染が増えてきた新種のマルウェアらしい。

　上記のブログなどでは、まずレジストリで起動時の自動実行プログラムエントリからウイルス本体を削除し、その後別途ダウンロード入手した「Malwarebytes' Anti-Malware」の実行ファイルをexplorer.exeとすり替えて実行し駆除を行うとあった。しかし既に起動しなくなっている該当PC単独では一連の処理は難しい。

　別PCで「C:\Document and Settings\ユーザ名\Application Data\58954031\58954031.exe」を削除し、ダウンロードした「Malwarebytes' Anti-Malware」のセットアップファイルも該当HDDにコピーする。面倒でなければレジストリハイブをインポートして別PC上で自動実行エントリの削除までしてもよかったかもしれない。

　該当PCにHDDを戻してセーフモードで起動。ウイルスが立ち上がらなかったことを確認してからレジストリの自動実行エントリ削除。続けて「Malwarebytes' Anti-Malware」をセットアップし検出処理を実行。該当PCで出荷時にプリインストールされているアプリケーションの実行ファイルで一度エラーが発生したが、その後は正常に処理が進み、最終的に７つの疑い項目が検出された。

　以下はログの抜粋---

Malwarebytes' Anti-Malware 1.42

Database version: 3289

Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 6.0.2900.2180

2009/12/28 17:32:58

mbam-log-2009-12-28 (17-32-53).txt

Scan type: Full Scan (C:\|D:\|)

Objects scanned: 221648

Time elapsed: 34 minute(s), 18 second(s)

Registry Values Infected: 2

Files Infected: 4

Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Trojan.Dropper) -> No action taken.

Files Infected:

C:\WINDOWS\Temp\~TM13.tmp (Trojan.Downloader) -> No action taken.

C:\Documents and Settings\<ユーザ名>\デスクトップ\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.

C:\Documents and Settings\<ユーザ名>\スタート メニュー\プログラム\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.

C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) ->

　---抜粋終わり

　この後さらに通常起動し、もう一度Anti-Malwareで完全スキャンを実行した。

　この復旧作業の途中、当該ユーザのスタートアップフォルダ内に別の不審なファイル「siszyd32.exe」を偶然発見。このファイル名でgoogle検索すると、まだ情報は少ないものの今月中頃から感染拡大が始まったWEBサイト感染型のトロイの木馬らしい。http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102 などに少し記載がある。

　とすると、このsiszyd32.exe（が構成しているトロイの木馬）に感染したWEBサイトを閲覧したことによって、Security Toolを埋め込まれたということになるだろうか。

　残念ながらこのファイルをウイルスバスターcorp.でスキャンしても問題は見つからず。もっとガンバレよウイルスバスター。

　このファイルが気になったので、Anti-Malwareを内蔵機能でオンラインアップデートし最新の定義ファイルで改めて完全スキャンすると、siszyg32.exeもやはりマルウェアとして検出されるようになった。当然削除。

　その後、何度か再起動してもあのSecurity Toolが再び起動することはなくなったので、一旦は駆除作業完了とみなすことに。

　また付帯作業として、自分が管理しているWEBサイトにおかしな細工がされていないか http://www.aguse.jp/ を通して確認したが、今のところ不審な点は見つかっていない。

　

　この作業終盤になって、ようやくTrendMicroのウイルスデータベースで疑わしいウイルスの検出名を把握できた。トップページの検索ボックスでSecurity Toolと叩いても何も意味のある記事は帰ってこなかったのでTrendMicroで調査するのを止めようと思い始めたところだ。できればウイルスデータベースへのリンクをもっと分かりやすいところに貼るか、さもなくば検索ボックスで検索対象を一般コンテンツかウイルスデータベースか選択できるようにしてほしい。

　まぁそれはさておき、TrendMicroではこのウイルスを「TROJ_FAKEAV.MET」と識別している。http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.MET&VSect=T で示されている感染時の現象が、画面表示を含め今回のものとほぼ同一だったので間違いないだろう。駆除方法は先のブログに紹介されていたものと同じ。

　ここまで状況をつかんでいるなら、どうして検出も駆除もできなかったのか？。利用者にはクライアントPCの動作が異常に重くなると大変不評のクライアントPC一括スキャンを毎週実行しているし、それでなくてもリアルタイムスキャンは起動直後から走っている。HDDに置かれるファイルの名称が異なっていてもファイルのバイナリが一致するのなら、いくらなんでも検出できて当然なのではないのだろうか…。ファイル名が固定らしいsiszyd32.exeなら尚の事だ。

　結局今回はウイルスバスターCorp.は全く活躍していない。エンジンと検索パターンはウイルスバスターの家庭用や他のエディションと共通のはずなので、もし自宅で感染しても全く同じ発症経過を辿ることになるのだろう。

　個人で４つもシリアル取得しているユーザとして今後の改善を切に期待する。