これだけだとあんまりなんで．．．．
内容については確認してません。やな言葉ですが「自己責任」でお願いします。

「MSBKUP.EXE」　投稿者：行きずり 投稿日：2004/11/23(Tue) 21:41 No.624
＊　インターネットで検索しても未だ対策例が皆無で、感染例も横文字サイトに２例(2004/11/18と2004/11/19)のみの
　　新手(?)で巧妙なブラウザハイジャッカーに感染しましたので、参考までに感染経緯、症状、対策(処置)について
　　掲載しておきます。　感染例の横文字サイト：
　　ttp://www.computerforums.org/showthread.php?t=5697
　　ttp://computercops.biz/postt87743.html
＊　未知(?)のスパイウェアで、未だ名前が不明なので、このスパイウェアのプログラム名をとって、
　　「msbkup.exe」と仮称しておきます。

(�T) 「MSBKUP.EXE」(ブラウザハイジャッカー)
　　　　　　　　　　感染日：　2004/11/18 21:25
　(1) 説明：　このブラウザハイジャカーは、下記の５ケのスパイウェア関連ファイルをダウンロードし、インストールした後、
　　　　　　　スタートアップに「msbkup.exe」と「spoolsrv.exe」の２ケを仕掛け、
　　　　　　　IEの「信頼済みサイト」に「http://*.63.219.181.7」を書き込んで改変する。
　　adsnp.dll (不明なアプリ) C:\windows\system 20KB 2004/11/18 21:28
　　comctrl32.dll (不明なアプリ) C:\windows\system 11KB 2004/11/18 21:25
　　spoolsrv.exe (不明　　　　) C:\windows\system 27KB 2004/11/18 21:25
　　msbkup.exe (不明　　　　) C:\windows\system 23KB 2004/11/18 21:25
　　usb.dll (不明なアプリ) C:\windows\system 15KB 2004/11/18 21:28
　(2) 感染経緯：　気分転換に横文字のAVサイトでもと思って初顔のサイトをクリックすると、裏で何やらモゾモゾやって
　　　　　　　　　いるのが、ディスク・ランプの点滅状態から見て取れたので、すぐにPCの時刻(2004/11/18 21:25)をメモする。
　　　　　・間をおかずに、「パスワードやカード情報を盗まれるかも〜」というような意味の出所の不明なポップアップが出て
　　　　　　フリーズ状態になったので、とりあえずPCの状況を把握するために再起動する。
　　　　　・以前は「はい」「Yes」「いいえ」「No」などの諾否応答の後侵入してきたものだが、最近は非礼にも画面をクリック
　　　　　　しただけで侵入するようだ。
　(3) 対策：　
　　(a) 状況把握：　
　　　・ファイル検索：　2004/11/18の日付によるファイル検索を行い、21:25分近辺を調べると上記の５ファイルを発見
　　　　　　　　　　　　多分時間的にこれらがウィルスファイルであろうとほぼ断定する。
　　　・同時刻の一時ファイルを調べる：　下記の怪しげなサイトをピックアップする。
　　　　　　//www.eroticklinks.net/
　　　　　　//vid4adult.com/games/games.html
　　　・「msconfig」でスタートアップを確認：　案の定「MSBKUP.EXE」と「SPOOLSRV.EXE」の２本が追加されて、
　　　　　　　　　　　　　　　　　　　　　　　正常時の２２本から２４本に増加していた。
　　(b) 1回目処置：
　　　・セーフモードで立ち上げる。
　　　・スタートアップの確認：　MSBKUP.EXE、SPOOLSRV.EXEの２本が追加されたまま。
　　　・タスクマネジャ確認：　Explorer、Imjpmgr、ヘルプとサポート、システム設定ユティリティ(msconfig)の４本のみ。
　　　・HijackThisのログを取る：　怪しいのは下記の３ケ。
　　　　　O4 HKLM..Run: [MSBKUP.EXE] MSBKUP.EXE
　　　　　O4 HKLM..Run: [SPOOLSRV.EXE] SPOOLSRV.EXE
　　　　 O15 Trusted Zone: http://*.63.219.181.7
　　　・他の手法がうまく行かなかった場合の「システムの復元」に備えて2004/11/17日付でファイル検索：　怪しいファイルなし
　　　・Spybot、Ad-Aware、CWShredderを実行：　５ファイルは消えていない。スタートアップにも居座ったまま、ダメ。
　　　・スタートアップの２ファイルのチェックを外し、無効にする。

　　　・普通に再起動する。
　　　・「アプリケーションの追加と削除」確認：　怪しいアプリなし、正常状態。
　　　・Downloaded Program Files確認：　怪しいファイルなし。
　　　・「msbkup.exe」「spoolsrv.exe」を削除(ゴミ箱に捨てる)。
　　　・オンラインウィルススキャン実行：　Cドライブ(C:)スキャンでウィルスなし。
　　　　　　　　　　　　　　　　　　　　　Dドライブ(D:)スキャン開始と同時にウィルス復活、IEを乗っ取られる。
　　　・「Play with nude girl」(//vids4adult.com/games/games.html)に飛ばされる。
　　(c) ２回目処置：　時間的な余裕がなかったので、「システムの復元」で対応することにする。
　　　・「スタート」→「プログラム」→「アクセサリ」→「システムツール」→「システムの復元」
　　　・「2004/11/17 20:02」分をシステムのチェックポイントとして復元開始：　２分間で処理完了。
　　　・スタートアップ　OK、タスクマネジャ　OK、悪玉ファイル５本も消えている。
　　　・信頼済みサイト OK：　http://*.63.219.181.7も消えている。
　　　注) 安全性のレベル：　何故か「低」に換えられていたので、「中」に手動で戻す。

＊　以後、今日まで正常に動作しています。実際にやってみると「システムの復元」は簡略であり、最もお奨め版だと
　　思います。
　Spoolsrv.exe:http://www.symantec.com/region/jp/sarcj/data/b/backdoor.ciadoor.b.html
　Comctrl32.dll：http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=8841&forum=7

　次へ 　前へ

ＩＴ7掲示板へ

フォローアップ:

• やられたと思ったときにとりあえずやること 城代家老睦田 2004/12/18 10:52:21 (0)

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。