8080系の記事に関して時系列順にまとめました。
ガンブラー(GumblerじゃないよGumblar/JSRedir-R)を利用したウイルスに感染する様子を撮影した動画。
以下、表示されてるダイアログなど。
違い
前回の時とは別のサイトで感染してみたんですが(リダイレクト先も違う)
前回:なんとかかんとかwebdirectbroker.ru:8080/
今回:なんとかかんとかthechocolateweb.ru:8080/
そのせいかちょいちょい前回とは違う所があります。
まず今回はSecurity Toolのインストール処理(?)まで行われてからSTOPエラーが出てるという事。
あと、スタートアップフォルダに仕込まれるsyszyd32.exeが
偽装無しの味気ない感じに。
ただ 作成日時:2009年4月1日 19:58:21 更新日時2004年8月4日 0:56:02 っていうのは相変わらず。
何かのサイン?
レジストリへの登録内容もちょっと違う。
前回:sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM31.tmp のみ
今回:22001005 REG_SZ C:\DOCUME~1\ALLUSE~1\APPLIC~1\22001005\22001005.EXE
CTFMON REG_SZ C:\WINDOWS\Temp\_ex-08.exe
sysgif32 REG_SZ C:\WINDOWS\TEMP\~TM1A.tmp
ちなみに
「このレジストリに追加された3件を消してやれば、STOPエラーはおさまってとりあえず通常起動するのかなー」
などと軽く考えて、削除後再起動してみたんですが、どっこいSTOPエラーはおさまらず。
続けて感染する前の状態へシステムの復元をかけてみてもやっぱりSTOPエラーはおさまらず。
という事でこの状態まで至ると、もしかしたら復旧させるのはちょっとめんどくさいのかもしれない?
まだ詳しくは見てないのでよくわからないですけど。
ところで誰か、指定したタイミングでレジストリと指定したファイル(フォルダ)のスナップショットが作成できて
そのスナップショットごとのレジストリやファイルの増減(変更)がわかりやすいインターフェースで比較できるようなフリーソフトを知らないですかね・・・。
追試ありがとうございます。どうやって進入するか仕掛けがわかりました。
ダイアログはでるんですね。しかし何も押さなくてもインストールされるとは怖い。
たしかに親戚のPCがおかしいって送られてきたときは、SecurityToolが入ってました。亜種なのかIEが勝手に立ち上がって「ご迷惑をおかけします送信しますか?」っていうのが1分おきくらいにどんどん出てくるやつでした。(IEとfirefoxが落ちるタイプ)
ウイルスの種類か、パソコン側の更新プログラムがどこまで当てられているかなんかによって挙動が変わってくるのかなと思わなくもないんですけど結局細かい事は謎です。