↓
の続き。
Antivirus Actionの生態調査・・・というほどのもんでもない。
まずはAntivirus Actionの本体
ファイル名:dsxbnnutsbl.exe
場所:C:\Documents and Settings\user\Local Settings\Temp\eupfcqdha
VIRUSTOTALの結果はこちら 2010-12-02 20:36:20(UTC)の時点で 10/43
関連レジストリ:
その他
syssvc.exe
場所:C:\Documents and Settings\user\Local Settings\Application Data
VIRUSTOTALの結果はこちら 2010-12-03 13:15:34(UTC)の時点で 25/43
ファイル名:file.exe
場所:C:\Documents and Settings\user
VIRUSTOTALの結果はこちら 2010-12-02 20:46:20(UTC)の時点で 10/42
あとIEのProxy設定が勝手にONになってます。(127.0.0.1 : 23012)
という事で他に追加(変更)されたレジストリの中で関係してそうなもの(こちらのサイトを参考に抽出してみました)
HKEY_CURRENT_USER\Software\ere94fe5o32
HKEY_CURRENT_USER\Software\ere94fe5o32 knkd dword:00000001
HKEY_CURRENT_USER\Software\ere94fe5o32 id "84.2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run gqjqhdim "C:\DOCUME~1\user\LOCALS~1\Temp\eupfcqdha\dsxbnnutsbl.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings ProxyEnable dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer "http=127.0.0.1:23012"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyOverride "<local>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations LowRiskFileTypes ".exe"
file.exeは感染初期に動き回ってdsxbnnutsbl.exeに橋渡しするのがお仕事みたいなのでまだ分かるんですが
syssvc.exeは感染時に動いた様子無いし、何なのかよくわからんなー。
暇な人の為にProcessMonitorで取得した感染時のログから、file.exe・syssvc.exeそれぞれの動きをcsv形式で抽出してたものを置いておきますね( ゚o゚)っ。
「このAntivirus Actionにやられちゃったみたいなんですけどどうやったら駆除できるんですか!」なんて質問されても
「いさぎよくシステムの再インストールしちゃいなさい」と冷たくあしらっちゃいますのであしからず。
Comment [1]
No.1囲さん
ライブドアもとい、バックドアっぽいっすねぇ。。。
すでにVTへ多くの方が投げているのでスクリプトを含めベンダーには頑張ってほしす。
Windows怖いってことになりませんように(-人-)
コメントする