セキュリティ
Dec 04, 2009
Aug 06, 2009
ホームページ(IE)が開かなくなるウィルス(xvassdf)を手動復旧
今回はかなりてこずった。相談を受けた時点ではウィルスがどういう動作であるか分からなかったしホームページ(IE)が開かないと色々な修復操作ができないので大変だ。おまけにウィルスソフトのインストールがエラーでとまる。結果的に分かったことは、このウィルスはホームページの起動ファイル(homepage.inf)を書き換えてしまい、正常起動を妨げていること、Windowsインストーラー(msiexec.exe)を書き換えて正常に動作しなくする(ファイルサイズが同じだったため置換してもう削除してしまったがバックアップしておけばよかった)ことの2点だ。
よほど途中でリストアしようかと思ったが、今回はクライアントからの非常に強い要望があり、絶対に復旧させなければならなかった。膨大な時間を要したが、手動でシステムファイルを1件ずつチェックし、やっと上記の原因にたどり着いた。
感染源はUSB(またはホームページ)と思われるが、復旧を優先したため詳細は追跡できなかった(検体も完全に確保できなかった)。今回は本当にしんどかったが、とりあえず復旧してよかった。
似たような症状でお困りの方は下記よりご相談ください:
PCウィルスによる被害の復旧・診断・予防
09.08.06(木)13:30追記:
IEが開かないと代替手段として FireFox を使っている人が多い。FireFoxだとPDFのリンクが開かない、スクリプトが動かない、などの問題があって結局IEが必要となる。同様の問題がある方はウィルス対策をしたほうがよい。なお、この記事のコメント欄でやり取りする範囲は相談無料ですのご利用ください。
Oct 14, 2008
http://online-scan.net/xv/ を踏まないように
http://online-scan.net/xv/ を踏むと変な実行ファイルを導入され、勝手に外部接続に行くようです。依頼を受けて調べたところ、たちまちavast!が反応した。依頼主はAVGをインストールしており、パターンも最新だったが通り抜けてしまった。調べてみると、現時点ではまだ日本語の情報がなく、McAfeeのサイト(魚拓)に情報があった。
McAfeeの定義名:Downloader-ARL
avastの定義名: Win32:PureMorph [Cryp]
FortiNetの定義名: W32/PolySmall.BP!tr
F-Protの定義名: W32/FakeAlert.X.gen!Eldorado
Kasperskyの定義名: Trojan.Win32.Obfuscated.gx
Symantecの定義名: Packed.Generic.182
どうやらまだAVGには定義が無いようで、それで通り抜けたのだろう。
Sep 22, 2008
USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!
半年も前(2/17)の記事
USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧 に対して、未だに連日100件を超えるユニークアクセスがあり、コメント数は128件、問い合わせメールも多数で、この零細ブログの中ではダントツの人気記事となっている。このウィルスの被害は相当広範囲に及んでいるようだ。今月はNHKのニュースでも取り上げられていてた。
様々な問い合わせを聞いて一番残念なのは、感染したPCをあっさりリストア(OSの再インストール)してしまうケースが非常に多いことだ。正確な統計は取っていないが、全体の7割くらいは泣く泣く再インストールしていると思う。このウィルスが手動駆除でほぼ完全に復旧できることを作業者が知らないためだ。しかも、感染したUSBメモリ・感染した内蔵HDD・感染外付けHDDがそのままだったため、せっかく感染PCをリストアしたのに繰り返し再感染するという悲劇的なケースに陥ってしまう。このウィルスに関しては、多くの場合、リストアは全く無意味だ。
私の場合、この半年間にあちこちから依頼を受けてこのウィルスの駆除作業を行い、(合計すると数十台の)感染PCを復旧させてきたが、感染PCをリストアしたケースは1件も無い。
どうせならリストアする前に問い合わせしてくれれば良かったのに、といつも心を痛めている。
ということで、改めて申し上げます。USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します。お問い合わせはお早めに、リストアする前にどうぞ!
なお、費用がかかっても良いから駆除作業しに来て欲しいとおっしゃる方は PCウィルスによる被害の復旧・診断・予防 をご覧下さい。
※本件に関するコメントは情報管理と利用者の利便を考えて USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧 のコメント欄に集約したいと思います。コメントされる方はそちらをご覧の上、そちらのコメント欄に書き込んで下さい。ただし、技術的な内容を伴わないものはこの記事にコメントなさっても構いません。技術的な内容のコメントをこちらに書き込みされた場合、管理者権限で引越しすることもあります。
Feb 17, 2008
USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧
※08.09.22(月)07:24追記:
関連記事を掲載しました:
USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!
※08.05.09(金)21:00追記:
くる太郎さんよりメールをいただき、ご自身による詳細なウィルス分析の記事をご紹介いただきました。次のリンクを是非ご覧ください。
→mmvo.exeとの格闘-まとめ
執念深く分析し駆除するだけでなく、同様に困っている方のためにその過程を公開なさっています。くる太郎さんに敬意を表し、冒頭に追記します。(追記ここまで)
USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えたらウィルスに感染しているかもしれないので要注意だ。このウィルスはUSBメモリを介して感染が拡大する(Web経由でも感染する)。
先日このウィルスにやられた。ファイル削除など直接的な危害をもたらすウィルスではなかったが、手動駆除に相当の時間を取られた。
USBメモリを接続した瞬間、「q83iwmgf.bat」という不審なファイルが現れたので即座にテキスト・エディタで捕獲した。このファイルを見ていると、次の瞬間にはこのファイルが消え、今度は「autorun.inf」が現れた。こちらは捕獲に失敗し、すぐ消えてしまった。ショックだったのはこのウィルスをavast!が検出してくれなかったことだ。この瞬間に気づかなかったらウィルス感染に気づかないままだった可能性が高い。
Jul 30, 2007
一時的にコメント欄に規制をかけます(承認制)
先ほどからコメントSPAMが大量に来ているため、一時的にコメント欄に規制をかけます。コメントは私が承認するまで公開されません。
07.07.31(火)08:51追記:
コメント欄の規制を解除しました。再度コメントSPAMが発生した場合、同様の処置を行う予定です。
Jun 29, 2007
弱性が指摘された「+Lhaca」の修正版が公開
一昨日の記事「LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見」の続報です。暫定対策が出ています。以下、「Lhaca」の作者ページより引用:
バッファーオーバーフロー問題について
http://park8.wakwak.com/~app/Lhaca/overflow.html
バッファーオーバーフロー問題に関するメールを頂きました。
該当する問題を消去したバージョンをこちらでダウンロードできます。
Lhaca121.exe
行ったこと:LHA展開処理内に存在したstrcpyをstrncpyに変更し、バッファーのオーバーフローをなくしました。
しばらくは本バージョンを正式版とはせずに、ここにおいておきます。詳細な動作確認が終われば正式版にします。
ということです。先日の私の記事を読んですでに「Lhaca」以外の解凍ソフトをご利用の場合、そのままで様子を見ることを推奨。この作者の書き方だとあくまで「暫定対策」版なので、特に理由がなければ、安定した「正式版」が出てから「Lhaca」に戻すのが懸命だと思う。
参照した記事:脆弱性が指摘された「+Lhaca」の修正版が公開
※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。
Jun 27, 2007
LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見
LZH形式に圧縮されたァイルを解凍する時に、『「Lhaca デラックス版 1.20」のインストールされた日本語版 Windows XP 上で実行に成功した場合、Windows の Systems フォルダにバックドアが開く。』(LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見)という危険性があるとのことだ。
Lhaca は使用者も多いので影響の大きい話だと思うが、上記の記事はちょっと一般向け情報としては不親切。「日本語版」のWindows XP 限定というのも良く分からない。
シマンテック社のサイト(日本語)にも何も関連記事がない(2007年6月27日(水)06:00現在)。
どう対応すべきかなんとも言えないが、まずは「Lhaca デラックス版 1.20」がインストールされてないか確認し、該当する場合は他の解凍ソフト(「解凍レンジ」など)に切り替えることを推奨する(参考:圧縮・解凍フリーソフト一覧(vector))。
中途半端な情報で恐縮だが、ひとまず何も知らないよりましなので速報記事としてアップする。続報が入り次第、この記事に追記する(か新規記事を書く)予定。
※つい最近(6/18)「avast! 4 Home Editionに乗り換え(もうトレンドマイクロもシマンテックもいらない)」という記事を書いたばかりだが、シマンテック社はこういう情報発信によって存在感をアピールしたいんだろうな、などどと考えてしまう。邪推かなぁ?
07.06.29(金)追記:
続報「弱性が指摘された「+Lhaca」の修正版が公開」をアップした。
※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。
Jun 17, 2007
avast! 4 Home Editionに乗り換え(もうトレンドマイクロもシマンテックもいらない)
avast! 4 Home Edition は高機能のウイルス・スパイウェア対策ソフトだ。「家庭用」かつ「非営利」なら無料だ。色々調べてみたが、これでもうトレンドマイクロもシマンテックもいらない。
avast! 4 Home Edition の特徴について説明してみよう。
avast! はチェコ共和国のソフト会社 ALWIL Software a.s. の製品だ。
ウィルス検出・ウィルス駆除といった基本的な機能がそろっているにもかかわらず(「家庭用」かつ「非営利」であれば)無料だ。最初にAVGを見たときも「無料でここまでやるか?!」と驚いたが、avast! はその上を行っている。これまでの無料ウィルス対策ソフトはどこか「無料ならではの使い勝手の悪さ」があったが、avast! はどこをどう見ても無料とは思えない。
また、Windows98 など古いプラットフォームでも動作する。私の場合、家族用の Windows98 搭載ノートPCが一台あり、気をつけながら使っていた。昨年でマイクロソフトのセキュリティ・アップデートも切れ、トレンドマイクロやシマンテックといった大手のウィルス対策ソフトにも見放された Windows98 だが、細々と使用している人がまだ私の回りにいる。 avast! のおかげで少しは息を吹き返すことが出来るだろう。
ただし、Windows98 で運用する場合には手動による設定(「Web シールド HTTP プロキシをマニュアルで設定するにはどうしたらいいですか」など)が必要なので、素人が知らずに使うのは危険だ。また、大きな問題はファイヤウォール機能がないことだ。XP以上ではファイヤウォールが標準で入っており問題ないが、Windows98 など古いプラットフォームで利用するならルータを入れなければ危険だ。
※(モバイル運用など)どうしてもルータが入れられない場合はファイヤウォール・ソフトを入れる必要がある。ファイヤウォール・ソフトは「Outpost」の無料版がお奨め(参考資料:ファイアウォール Outpost)。
トレンドマイクロやシマンテックの対応次第だが、ウィルス対策ソフトの市場は劇的に入れ替わることになるかもしれない。
自宅の一台のデスクトップ(WindowsXP)にはシマンテックを入れていたが、ライセンス切れを機会にライセンスを更新せず avast! に乗り換えた。しばらく使用して色々調べたが、今のところ全く問題がない。テストウィルス(eicar | THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE(英語ページ)(※注意!ウィルス対策ソフトが反応します!)の実験ももちろんOK。引き続き使用し、また経過をレポートしたいと思う。
avast! 4 Home Edition の画面例:
ウィルス検知メッセージ(画面の下部にポップアップ)
ちなみに、「avast」はチェコ語だと思って自動翻訳(チェコ語→英語)で調べてみたが見つからなかった。どういう意味の単語かご存知の方はお教え下さい。
参照資料:
・avast!4 Home Edition ライセンス取得日本語版 - avast!4ナビ
・avast! Antivirusについての質問です。ウイルスを見つけるだけでなく、ウイルスの... - Yahoo!知恵袋
・無料ウィルスソフトのススメ!
・スラッシュドット ジャパン | IPA、Windows 98/Meの使用継続の危険性について注意喚起
・ニュースになるかな、Windows 98/MEのサポート終了^^; - 最新ネット事情から読み解く、安全なインターネットの使い方
・エコノミークラスからの手紙 マイクロソフト、Windows 98とMeに対するサポート終了
・教えて!goo Win98です。マイクロソフトのサポート終了の事で
※セキュリティ関連の記事が結構たまっていたので、新カテゴリー「セキュリティ」を設定し、この記事から適用し、過去の記事も含めて整理した。
※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。
Jun 15, 2007
コメント欄に規制をかけます
正体不明のコメントが連続したため、急遽コメント欄に規制をかけることにします。全てのコメントは管理者(私)が承認するまで公開されません。
という記事を書いている最中も意味不明なコメント投稿が続いているようなので、画像認証もかけます。
追記:07.06.15(金)05:30
規制した途端に止まりました。画像認証が利いたのかな?承認待ち規制は(私が)面倒なので解除します。すでに投稿・公開されている意味不明なコメントは全て閉じます(研究用サンプルとしてあえて削除しない)。投稿されたコメントは半角英小文字だけで、日本語(ローマ字読み)でも英語でもありませんし、その他の私が知っている言語ではありません。広告にリンクされているわけでもないし、一体誰が何のためにやっているのでしょうか?嫌がらせか?あるいは、このブログを使って暗号通信でもやっているのだろうか?全く意味不明です。
※人気blogランキングに参加しています。このブログが面白いまたは役に立ったとお感じになった時に「人気blogランキングへ」をクリックしてください。お1人様1日1回までカウントされ、ランキングに反映されます。
より以前の記事一覧
- トレンド・マイクロに知り合いいたっけかなぁ?(ウイルスバスター2007の「URLフィルタ」でした!) 2007.06.05
- トラックバックSPAMが多い! 2007.02.27
- 衝撃の人身売買メール 2005.12.04
- ホームページが勝手に変わる 2005.09.19
- NHKの担当部署は個人情報保護法を知らないのだろうか? 2005.08.14
- 419事件(国際詐欺)のメール 2005.07.07
- PCウィルスによる被害の復旧・診断・予防 2005.06.25
- 迷惑FAX 2005.06.02
- 巧妙な Netsky 添付ファイル 2005.03.04
- ウィルスと不正侵入その4 2004.11.04
- 新潟県中越地震の救援物資を求めるチェーンメール 2004.11.01
- ウィルスと不正侵入その3 2004.10.31
- ウィルスと不正侵入その2 2004.10.29
- ウィルスと不正侵入その1 2004.10.27
その他のカテゴリー
@nifty投票 EVACUATION My daughter in kindergarten SLOW GENOCIDE Thunderbird いじめ・自殺 セキュリティ ブログスカウター(BlogScouter) マーガリン小実験 ミラクル・クエスチョン 中華人民共和国(中国)の環境問題 北九州市「中井保育園」園児熱射病死 医療情報技師(JAMI-Healthcare IT) 卒業試験 台風04号(JUL2007) 平成17年福岡県西方沖地震 平成19年新潟県中越沖地震 平成20年岩手・宮城内陸地震 戦略と歴史 放射能対策 日記・コラム・つぶやき 近くの図書館の新着コーナー
Recent Comments