スパにゃの戯言

「Nuclear Exploit Kit」によるトロイの侵略を許してしまいました

はい、タイトル通りなのですが、十数年ぶりに虫に食われました (´・ω・`)
しかもかなりやっかいなヤツでした・・・・
Web上で症状を検索すると、新型のトロイなのかもしれません。
とりあえずはシステムを破壊するものではないのですが、個人情報が抜き取られる恐怖がっ


感染後の症状はと言いますと、エクスプローラーの動作が非常に重くなり、CPUが起動した覚えないプロセスで占有されてしまうという感じです。
特に、エクスプローラーの重さが半端なくて、マイコンピューターを開くのにも一苦労でした。
その症状に気づいたときには、丁度WindowsUpdateを行った直後だったので、「MSがまた何かやらかしたのか!」と思っていたのですが、
タスクマネージャーを見てそうじゃないとすぐわかりました。



OS起動後のタスクマネージャーの様子が以下です。

taskmgr1_1.jpg
cmd.exeやconhost.exe、msiexec.exeが複数立ち上がり、explorer.exeが2つもあります。
突っ込みどころ満載です! 
この時は出てなかったのですが、notepad.exeも起動している時もありました(勿論、偽者です)



これをProcessExplorerで見ると以下のようになっています。

process_explorer1.jpg
taskmgr.exeとprcexp.exeの間にあるものは、全部不正プログラムです。
手動でポチポチ消しても、すぐにまた新しいプロセスが立ち上がってくるのでいたちごっこに。


そんな不毛な作業をしてるうちに気づいたのですが、こいつらはexplorer.exeの子供としてぽんぽん生まれてくるので、大本を消しちゃえ!
って事で、親プロセスであるエクスプローラーを消してみたところ・・・・

process_explorer2.jpg
スッキリ全部消えて、それ以降立ち上がらなくなりました!

これで解決! 完!!   


・・・と言うわけにもいきません ('A')



エクスプローラーを消すって事は、タスクバーが勿論消えます。
スタートメニューも出せなければクイック起動バーも使えずに時計も見れません。
タスクマネージャーやProcessExplorerを起動してれば、「ファイル名を指定して実行」で直接プログラムの起動は出来ますが、流石に限度があります。
(私はOrchisランチャーを使用して、プログラムのショートカットを登録していたものは起動出来たので、数日そのままで過しました。)


その「ファイル名を指定して実行」で、再度エクスプローラーを起動してみました。
process_explorer3.jpg





process_explorer4.jpg
はい、うじゃうじゃ起動してきました。
explorerは完全に使用禁止ですね。





このままでは困るので害虫駆除に取り掛かったのですが、アンチウィルスソフトを何個か試した結果、成果は上がらずでした (´・ω・`)

私が使っているOSはWindows7でして、その通常アクセス禁止な領域(Documents and Settingsの奥深く)に本体が居るために、手が届かない状態なんだとか。
それに対処するには、Avastのブートスキャン(OSが起動する前にウィルス駆除するやつ)を使うと、駆除出来るとの事だったので試してみたのですが、
6時間を2セット繰り返して検査しても、私の場合は駆除は出来ませんでした orz


「よろしい、ならばシステムの復元だ」と思ったら、ご丁寧に復元ポイントも破壊してくれました (#^ω^)ビキビキ

結局、OSの再インストールと言う最終手段を行って事態は収拾しました・・・無念





今回のトロイの進入経路ですが、流行り?の「Nuclear Exploit Kit」によるものでした。
Adobe Flash Playerの脆弱性を利用してトロイを送りつけてくるヤツです。
Flashで作成された広告をブラウザで見ただけで感染してくるアクティブな野郎です。
送り込まれたトロイは「Bedep-A」ってのらしいですけど、これであってるのかはいまいちわかりません。
物理的に違うドライブにOSを入れなおし、感染があったドライブに対してAvastとノートンとウィルスバスターでスキャン掛けても検出が出来ませんでした。



このFlashの脆弱性は4月のパッチで対応されたらしいのですが、私は更新していませんでした。
以前に不具合パッチやられてから自動更新は切っていて、PCの再起動時に更新する様にしてたんですよね・・・
で、PCを1ヶ月以上も再起動していませんでしたw

私のメインブラウザはNoscriptアドオンを入れたFirefoxなので、こちらを使用していれば感染する事はなかったはずです。
ですが、その時だけたまたま別の用途でIEを使っていたのです。
そしてそのIEで、ちょっとエロい系のサイトを回ってしまったと言う救いようが無いアホな行為を!!


十年以上も痛い目を見てなかったので慢心してましたね・・・・情けない。
まぁ、そのおかげで前から導入しようと思っていたSSDを導入出来たので怪我の功名かな!!!!



みなさんはこんな痛い目に合わないように、Flashの更新をしておきましょうね!
バージョの確認は以下のサイトで行えます。

Adobe - Flash Player


素のIEを使ってる人は、それをどぶ川に捨てて、Noscriptアドオンを入れたFirefox使いましょう (`・ω・´)
Flash系の広告を消してくれるので、動作がかなり軽くなりますよ!



~~~追記(2015/06/09)~~~~


こちらの掲示板を参考にして、KNOPIXXなるLinuxOSからCDブートでWindowsからはアクセス不可領域を確認したところ、

ProgramData\Application Data\{英数字の羅列}

というフォルダ内に、"fwcfg.dll"と英数字の名前のファイルが見つかりました。
ファイルの日付的に"fwcfg.dll"が本体ということで間違いなさそうです。

このファイル毎フォルダを削除して以前のOSで立ち上げた所、不正プログラムの増殖は止まりました!
エクスプローラーも軽くなり、快適です ( ◜◡◝ )

ですが、今度はsvhost.exxeがCPU食い始めたので完全に除去は出来てないようです。
これ以上は、また時間があった時にでもKNOPIXXからブートして調べてみたいと思います。


関連記事



  1. 2015/06/07(日) 20:51:30|
  2. 雑記
  3. | コメント:5

<<のぞえもん1巻 (藤崎ひかり) | ホーム | ぷにケット31戦利品(夢先案内回覧版、要、シチテンバットウ)>>

コメント

大変だったみたいね
お疲れ
  1. URL |
  2. 2015/06/08(月) 23:51:09 |
  3.  ばぶ #-
  4. [ 編集 ]

乙ありです~
かなり大変だったけど、久々の体験でちょっと楽しかったりもしました・・・・w
  1. URL |
  2. 2015/06/09(火) 21:53:49 |
  3. スパにゃ #-
  4. [ 編集 ]

私もやられました
原因が分からず一週間に3回
症状は異常に重くなり起動してアイコンやタスクトレイが表示されるまで20分システムの復元を起動までさらに30分ぐらいかかりましたが
幸いシステムの復元で元に戻りました
こちらの記事を拝見してNoscriptアドオンを入れまして
今の所再現してないです
Adobe Flash Playerは自動更新してたのですがダメみたいですね
一応セキュリティソフトは反応があるのですが
最初は何に反応したのか分からず
許可やブロックどちらを選んでもその次点ですでにアウトみたいです

それとサークルスペース付与ツールダウンロードさせていただきました
ただ、Noscriptアドオンでブロックされるみたいですね
入れたばかりでNoscriptの使い方がよく分かってなくて
少々戸惑いました
  1. URL |
  2. 2015/06/11(木) 17:19:54 |
  3. kiyohiro #-
  4. [ 編集 ]

おぉ・・・・お仲間が・・・・w

とりあえずはシステムの復元で元に戻せて何よりでしたね。

Flashを自動更新にしてても、更新されていなかったという感じなんですかねぇ
まぁなんにせよ、余計なJavaScriptは走らせないようにしたほうが良いですねw

ウィルス対策系ソフトでブラウザにアドオン入れて監視してくれるタイプでもダメなのかな・・・・
ちょっとまた試してみたい気もしますが、また環境入れ替えるのとても面倒なので辞めておきます・・w


あと、サークルスペース付与ツールについてなんですが、こちらは内部的にはIEを利用してるのでNoScriptアドオンには引っかからないと思います。
それとも、DropBoxからツールをダウンロードするときに引っかかるという事でしたら、確かにDropBoxに対しては許可しておかないとダメですねw

  1. URL |
  2. 2015/06/12(金) 03:16:57 |
  3. スパにゃ #-
  4. [ 編集 ]

DropBoxですが
許可しないとダウンロードボタンが有効にならないみたいです
最初クリックしても反応がないのでなやみました
  1. URL |
  2. 2015/06/12(金) 06:07:50 |
  3. kiyohiro #-
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

今月のぬこ

ぬこ

初春ェ・・・・

カレンダー

10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

最新記事

カテゴリ

雑記 (340)
戦利品 (1026)
戦利品(同人系) (605)
戦利品(成年コミック系) (64)
戦利品(一般コミック系) (131)
戦利品(成年雑誌系) (68)
戦利品(一般雑誌系) (53)
戦利品(CD/DVD/BD系) (22)
戦利品(その他) (83)
イベント参加 (45)
未分類 (1)

萌え物


ロウきゅーぶ SS! 袴田ひなた うさぎさんVer
ロウきゅーぶ SS! 袴田ひなた うさぎさんVer

しゅきしゅきだいしゅき!!
しゅきしゅきだいしゅき!!

ものべの -MORE SMILE- for Sumi
ものべの -MORE SMILE- for Sumi

ロウきゅーぶ SS! 湊智花 うさぎさんVer
ロウきゅーぶ SS! 湊智花 うさぎさんVer

ほっけうるふ描き下ろし抱き枕カバー
ほっけうるふ描き下ろし抱き枕カバー

変態王子と笑わない猫。 カントク アートワークス
変態王子と笑わない猫。 カントク アートワークス

世界征服 ~謀略のズヴィズダー~ 黒星紅白デザインワークス(仮)
世界征服 ~謀略のズヴィズダー~ 黒星紅白デザインワークス(仮)

びじゅあるロウきゅーぶ!
びじゅあるロウきゅーぶ!

ものべの HAPPY END 公式ビジュアルファンブック
ものべの HAPPY END 公式ビジュアルファンブック

智花&ひなた 一緒にお休みアームピロー
智花&ひなた 一緒にお休みアームピロー

打ち止め ・ラストオーダー
打ち止め ・ラストオーダー

ロウきゅーぶ! SS 第6巻
ロウきゅーぶ! SS 第6巻

ロウきゅーぶ!SS 袴田ひなた抱き枕カバー
ロウきゅーぶ!SS 袴田ひなた抱き枕カバー

ロウきゅーぶ!SS 三沢真帆抱き枕カバー
ロウきゅーぶ!SS 三沢真帆抱き枕カバー

ロウきゅーぶ!SS 湊智花抱き枕カバー
ロウきゅーぶ!SS 湊智花抱き枕カバー

袴田ひなた
袴田ひなた"ほぼ"等身大ビッグサマーブランケット

ものべの 公式ビジュアルファンブック
ものべの 公式ビジュアルファンブック

応援バナー

Lose まいてつ
『ちっちゃくないもんっ!』応援中!

 

ブログパーツ アクセスランキング

 

検索フォーム

月別アーカイブ

ランダムタグクラウド

リンク

このブログをリンクに追加する

最新コメント

RSSリンクの表示