山田ウイルス感染レポート
実際に感染してみました。
駆除の参考になれば幸いです。
- 準備
- 感染
- 確認
- ヲチ
- 駆除
- その他
1.準備
今回使用したウイルス込みファイルは某P2Pソフト上で配布された『(写真集) 山田玲奈 「はじめまして」.zip』。
感染前のデスクトップもどことなく(´・ω・)カワイソスな感じ。
感染前のレジストリも確認しておきます。
注目するのは2箇所です。
+HKEY_LOCAL_MACHINE
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
+HKEY_CURRENT_USER
+Software
+Microsoft
+Windows
+CurrentVersion
+Run
タスクマネージャーです。
ユーザ名『ハマー』でログオンしています。
通常のsvchost.exeは『NETWORK SERVICE』『LOCAL SERVICE』『SYSTEM』ユーザで動いています。
C:\WINDOWS\system32\drivers\etcフォルダにあるhostsファイルです。
#で始まる行はコメントですので無視してかまいません。
大抵のユーザは『127.0.0.1 localhost』だけです。
2.感染
それでは山田ウイルスが仕込まれたファイルを解凍してみます。
すでにおかしいです。
とりあえず、解凍作業が終了するのを待ちましょう。
やれ、やっぱりフォルダ?
そんなわけありません、実行(exe)ファイルのアイコンがフォルダアイコンなだけです。
長い空白のあとにある.exeがそれを示しています。
ちなみにOSがXPでなければ、通常のフォルダアイコンとの違いに気付く――はずです。
でも気付かなかったフリをして、このフォルダを開くためダブルクリックします。
やっぱりフォルダじゃないか!
心配は杞憂に終わり、安心して写真集を見ることができます。
模造でした _| ̄|○
まあ、よくあることと割り切って、一度上のフォルダに戻りましょう。
察しの良い方ならすでにお気づきでしょうが、先ほどとフォルダ名が違います。
(空白).exeがありません。
答えは簡単です。
『(写真集) 山田玲奈 「はじめまして」(空白).exe』は自己解凍型圧縮ファイルだったのです。
そして先ほど開いたフォルダは解凍によって新たに作られたフォルダというわけです。
こんなおかしな挙動を目撃した以上、何かあると思うのが当然です。
タスクマネージャーを起動してみましょう。
最初に確認した時にはなかったsvchost.exeが動いています。
しかも、本来あり得ないログオンユーザ名『ハマー』で動いています。
見事ウイルスに感染しました。
3.確認
とりあえず、これが山田ウイルスなのか確認してみましょう。
通報屋氏のブログ『ニュイルス日誌』から山田チェックツールをダウンロードし、実行してみます。
ログをコピーします
OSバージョン:Windows XP Service Pack 1
詳細なOS情報: Version5.1 Build:2600 Service Pack 1
チェック結果:
OSの情報を収集します。
OSの情報を収集しました。
HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません
HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません
HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイル改変なし。
All Userスタートアップ検索開始
svchost.exeを含むショートカットを発見
ファイルパス:C:\Program Files\Common Files\Microsoft Shared\Themes\blends\svchost.exe
All Userスタートアップ検索終了
共通スタートアップに偽装EXEらしきエントリを発見しました
個人スタートアップ検索開始
個人スタートアップ検索終了
ユーザスタートアップに問題はありません
Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイル改変なし。
山田ウイルスに感染している可能性があります。
詳細は http://www2.atwiki.jp/kawaisosu/ まで。
実際に動いているかどうかはプロセススキャンでお確かめを。 |
残念(?)なことに、レジストリとhostsファイルは弄られていませんでした。
気を取り直して、ログオンユーザ名で動いているプロセスsvchost.exe本体のある場所を確認しましょう。
プロセスパスを調べるのにはSlightTaskManagerを使用します。
プロセスパスが、山田チェックツールが指摘した『All Userスタートアップ』の偽装EXEへのファイルパスと一致します。
今度はAll Userスタートアップを調べてみましょう。
ハマーの場合、スタートアップフォルダにショートカットは1つしかありませんので、それのプロパティを調べてみます。
一見おかしな所など、無いように思えます。
ですが『リンク先』の項目をよく調べてみましょう。
正しいパスの前に、svchost.exeへのパスがありました。
| "C:\Program Files\Common Files\Microsoft Shared\Themes\blends\svchost.exe" "C:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l |
よく見れば、作業フォルダもsvchost.exeの存在するフォルダを示しています。
ついでなので、PC内を『svchost.exe』で検索してみましょう。
本物の『svchost.exe』は『C:\WINDOWS\system32』フォルダにしか存在しません。
『SVCHOST.EXE-3530F672.pf』はあっても無くても問題はないので、今回は無視します。
それではこの偽装『svchost.exe』のあるフォルダを開いてみましょう。
もはや疑いようもありません。
山田ウイルスに感染しています。
4.ヲチ
ここで少し視点を変えてみましょう。
山田ウイルスは感染したPCのスクリーンショットとハードディスクの中身を公開します。
ですので別のPCから感染パソコンにアクセスしてみます。
アクセスするにはアドレスにIPアドレスを入力するだけです。
ハマーと言えば山田砲(?)。
そこで自分に向けて撃ってみました。
突然こんなページが開いたら怖いです。
ボソ)だからこそ効果的
5.駆除
最初にログオンユーザ名で動いている『svchost.exe』を終了させます。
3.で確認した山田ウイルス本体とフォルダを削除します。
これだけでも十分ですが、スタートアップ内の偽装エントリも削除しておきます。
PCを再起動させて、ログオンユーザ名で動いている『svchost.exe』が無ければ駆除完了です。
6.その他
今回感染した山田ウイルスは、
- TROJ_MELLPON.L (トレンドマイクロ オンラインスキャン)
- Trojan horse BackDoor.Generic.CBL (AVG)
として検出されます。
Topへ戻る