★阿修羅♪ 現在地 HOME > 掲示板 > IT7 > 177.html
 ★阿修羅♪
次へ 前へ
Re: 「釣り」でしょう。意図は判らないし、判りたくもない(笑)
http://www.asyura2.com/0411/it07/msg/177.html
投稿者 バルタン星人 日時 2004 年 12 月 18 日 10:08:14:akCNZ5gcyRMTo
 

(回答先: 「釣り」でしょう。意図は判らないし、判りたくもない(笑) 投稿者 バルタン星人 日時 2004 年 12 月 18 日 09:39:33)

これだけだとあんまりなんで....
内容については確認してません。やな言葉ですが「自己責任」でお願いします。



個人セキュリティ情報広場
http://ns.netplus-japan.co.jp/~p-sec/cgi-bin/hiroba/yybbs.cgi

「MSBKUP.EXE」 投稿者:行きずり 投稿日:2004/11/23(Tue) 21:41 No.624
* インターネットで検索しても未だ対策例が皆無で、感染例も横文字サイトに2例(2004/11/18と2004/11/19)のみの
  新手(?)で巧妙なブラウザハイジャッカーに感染しましたので、参考までに感染経緯、症状、対策(処置)について
  掲載しておきます。 感染例の横文字サイト:
  ttp://www.computerforums.org/showthread.php?t=5697
  ttp://computercops.biz/postt87743.html
* 未知(?)のスパイウェアで、未だ名前が不明なので、このスパイウェアのプログラム名をとって、
  「msbkup.exe」と仮称しておきます。

(T) 「MSBKUP.EXE」(ブラウザハイジャッカー)
          感染日: 2004/11/18 21:25
 (1) 説明: このブラウザハイジャカーは、下記の5ケのスパイウェア関連ファイルをダウンロードし、インストールした後、
       スタートアップに「msbkup.exe」と「spoolsrv.exe」の2ケを仕掛け、
       IEの「信頼済みサイト」に「http://*.63.219.181.7」を書き込んで改変する。
  adsnp.dll (不明なアプリ) C:\windows\system 20KB 2004/11/18 21:28
  comctrl32.dll (不明なアプリ) C:\windows\system 11KB 2004/11/18 21:25
  spoolsrv.exe (不明    ) C:\windows\system 27KB 2004/11/18 21:25
  msbkup.exe (不明    ) C:\windows\system 23KB 2004/11/18 21:25
  usb.dll (不明なアプリ) C:\windows\system 15KB 2004/11/18 21:28
 (2) 感染経緯: 気分転換に横文字のAVサイトでもと思って初顔のサイトをクリックすると、裏で何やらモゾモゾやって
         いるのが、ディスク・ランプの点滅状態から見て取れたので、すぐにPCの時刻(2004/11/18 21:25)をメモする。
     ・間をおかずに、「パスワードやカード情報を盗まれるかも〜」というような意味の出所の不明なポップアップが出て
      フリーズ状態になったので、とりあえずPCの状況を把握するために再起動する。
     ・以前は「はい」「Yes」「いいえ」「No」などの諾否応答の後侵入してきたものだが、最近は非礼にも画面をクリック
      しただけで侵入するようだ。
 (3) 対策: 
  (a) 状況把握: 
   ・ファイル検索: 2004/11/18の日付によるファイル検索を行い、21:25分近辺を調べると上記の5ファイルを発見
            多分時間的にこれらがウィルスファイルであろうとほぼ断定する。
   ・同時刻の一時ファイルを調べる: 下記の怪しげなサイトをピックアップする。
      //www.eroticklinks.net/
      //vid4adult.com/games/games.html
   ・「msconfig」でスタートアップを確認: 案の定「MSBKUP.EXE」と「SPOOLSRV.EXE」の2本が追加されて、
                       正常時の22本から24本に増加していた。
  (b) 1回目処置:
   ・セーフモードで立ち上げる。
   ・スタートアップの確認: MSBKUP.EXE、SPOOLSRV.EXEの2本が追加されたまま。
   ・タスクマネジャ確認: Explorer、Imjpmgr、ヘルプとサポート、システム設定ユティリティ(msconfig)の4本のみ。
   ・HijackThisのログを取る: 怪しいのは下記の3ケ。
     O4 HKLM..Run: [MSBKUP.EXE] MSBKUP.EXE
     O4 HKLM..Run: [SPOOLSRV.EXE] SPOOLSRV.EXE
     O15 Trusted Zone: http://*.63.219.181.7
   ・他の手法がうまく行かなかった場合の「システムの復元」に備えて2004/11/17日付でファイル検索: 怪しいファイルなし
   ・Spybot、Ad-Aware、CWShredderを実行: 5ファイルは消えていない。スタートアップにも居座ったまま、ダメ。
   ・スタートアップの2ファイルのチェックを外し、無効にする。

   ・普通に再起動する。
   ・「アプリケーションの追加と削除」確認: 怪しいアプリなし、正常状態。
   ・Downloaded Program Files確認: 怪しいファイルなし。
   ・「msbkup.exe」「spoolsrv.exe」を削除(ゴミ箱に捨てる)。
   ・オンラインウィルススキャン実行: Cドライブ(C:)スキャンでウィルスなし。
                     Dドライブ(D:)スキャン開始と同時にウィルス復活、IEを乗っ取られる。
   ・「Play with nude girl」(//vids4adult.com/games/games.html)に飛ばされる。
  (c) 2回目処置: 時間的な余裕がなかったので、「システムの復元」で対応することにする。
   ・「スタート」→「プログラム」→「アクセサリ」→「システムツール」→「システムの復元」
   ・「2004/11/17 20:02」分をシステムのチェックポイントとして復元開始: 2分間で処理完了。
   ・スタートアップ OK、タスクマネジャ OK、悪玉ファイル5本も消えている。
   ・信頼済みサイト OK: http://*.63.219.181.7も消えている。
   注) 安全性のレベル: 何故か「低」に換えられていたので、「中」に手動で戻す。

* 以後、今日まで正常に動作しています。実際にやってみると「システムの復元」は簡略であり、最もお奨め版だと
  思います。
 Spoolsrv.exe:http://www.symantec.com/region/jp/sarcj/data/b/backdoor.ciadoor.b.html
 Comctrl32.dll:http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=8841&forum=7

 次へ  前へ

IT7掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。