なにやら年末頃から流行しているらしい、SecurityToolというマルウェア。
「ウイルスに感染してます!!感染してます!!」
「ウイルスを駆除するにはお金払って完全版を買ってもらわないといけないんです!!」
と騒ぎ立ててお金を払わせようとするソフト・・・っぽい。
※画像は英語表示ですが、日本語表示のバージョンも現れたらしい。
症状
パソコンを起動すると、「SecurityTool」という画面が表示される。
デスクトップのアイコンは表示されない。
タスクマネージャーを起動しようとしても、↑の画面のような警告が表示されるだけで起動しない。
ちなみにこんなメッセージ
rundll32.exe is infected with worm Lsas,Blaster, Keyloger.
This worm is trying to send your credit card details using rundll32.exe to connect to remote host.
レジストリエディター(regedit]も同様に起動しない。
Windowsを終了しようと、スタートメニュー→シャットダウンをクリックしても同様。
Ctrl+Alt+Del同時押しも同様。
とりあえず
そのままではシャットダウンすらできない状態なので、Windowsキー+Lの同時押しでログオフしてからシャットダウン。
という事で以下私が行った作業。
駆除作業
※以下の記述を元に作業を行ってパソコンがおかしくなっても私は責任取りません。作業をされる方はくれぐれも自己責任で!
セーフモードで起動する。
システムの復元を無効にする。
[フォルダオプション]で
『すべてのファイルとフォルダを表示する』にチェックを入れる。
『保護されたオペレーティングシステムファイルを表示しない(推奨)』のチェックを外す。
★ファイルの削除
C:\Documents and Settings\All Users\Application Data\ にあるフォルダ一つ 86766437
(中には 86766437.exe というEXEファイル) (注:8桁の数字はタイミングによって変わるようです[例:19395229])
C:\Documents and Settings\(ユーザー名)\スタートメニュー\プログラム\ にあるショートカット一つ Security Tool
C:\Documents and Settings\(ユーザー名)\スタートメニュー\プログラム\スタートアップ\ にあるファイル一つ siszyd32.exe (注:ファイル名はタイミングによって変わるようです[例:srvklw32.exe])
C:\Documents and Settings\LocalService\Application Data\ にあるファイル一つ fvgqad.dat (注:ファイル名はタイミングによって変わるようです[例:hwzypv.dat])
C:\WINDOWS\Temp\ にあるファイル3つ _ex-08.exe ~TMC.tmp ~TMF.tmp
★レジストリの編集
regedit起動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run の値3つ
名前 | データ |
86766437 | 86766437.exe |
CTFMON | _ex-08.exe |
sysgif32 | ~TMC.tmp |
その他ちょこちょこ残ってるショートカットを削除したような気はしますが、とりあえずは上記の作業後再起動する事でSecurity Toolは起動しなくなりました。
ちなみに、削除したファイルのうち、 86766437.exe と _ex-08.exe の二つがSecurity Toolの本体で、スタートアップフォルダに入っていた siszyd32.exe は別ものみたい。
その後は一応オンラインスキャンを行って、問題なさそうならシステムの復元とかフォルダオプションの設定を元に戻してひとまず終了。
心配なら、さらにレジストリ内を検索するなり、ディスク内を検索するなり、他社のオンラインスキャンをかけてみるなり、してみるがいいなり。
ただ基本的にスパイウェア(マルウェア)にあっさり感染してしまうパソコンって
・ウイルス対策ソフトがインストールされていない
ウイルス対策ソフトはインストールされてるけど期限切れ(パソコン購入時に入ってた体験版がそのままとか)
・それでいてアップデートが一切されていない
・そのくせアレなP2P系ソフトがインストールされている
っていうコンボ技が繰り広げられてたりするので、一番確かなのは、必要なファイルのバックアップを取ったあと、システムの再インストールをして今度は感染しないようにきっちり対策をとる事だと思いますなり。
/*追記*/
SecurityToolを仕込まれたパソコンは、OSの再インストール(リカバリ)を強くオススメします。
OSの再インストール(リカバリ)を強くオススメします。
大事な事なので2回言いました。
Security Toolが勝手にインストールされていたという事は、その過程で他にも怪しげなプログラムを仕込まれている可能性があるため、Security Toolを削除しただけでクリーンな状態になったとは言い切れません。
また特に、同じパソコンにFTPクライアント(例:FFFTP)をインストールしていた場合はそのソフトに登録されていたアカウント情報を盗まれている可能性が高く
■参考■
UnderForge of Lack » Blog Archive » [NOTICE] がんぶらー’ed される FTP list
Gumblar/8080系が使用する file.exe を実行してみた « にわか鯖管の苦悩日記
そのまま放置しておくと、盗み出したアカウント情報を元にあなたが管理しているサイトが勝手に改ざんされ、新たな感染源となってしまう可能性があります。
該当する方は今すぐ自分が管理しているサイトが感染しているかどうかの確認(aguseでチェックするかよくわからない場合ははてな・知恵袋・2chで聞いちゃうとか)を行ってFTPパスワード(アカウント)の変更などなど対策を講じる必要があります。
/*追記ここまで*/
感染原因
(例外があるかもしれませんが)感染の原因はおそらく、パソコンに何らかの脆弱性がある状態で改ざんされたサイトを閲覧した事によるものです。
■参考■
残念ながら感染してしまった人は二度と感染しないように今後はきちんと対策を取りましょう。
「Security Tool」に感染した原因は対策してないアナタにあるっ! - 無題なブログ - Yahoo!ブログ
>未だに「えっちなサイトや怪しいサイトに行く人だけがウイルスに感染する」と思い込んでる人もいますが、今お気に入りに登録してあるサイトが明日も安全なサイトであるという保障はいっさいありません。
感染したオレの友達も
とうの前に期限切れで気にせずやってたからねぇ~(笑
あるよね~
困るよね~