ウイルスバスター2007 検知できず！感染の無限ループ（？）(;´Д`)

ウイルスバスター2007最新版入れたら、偶然かどうかわかりませんが、ウイルスにやられちゃった話を書きましたが、その続き・・・

昨日、電源を落とさずに寝てしまい、朝起きたら・・・初めて見るエラーが・・・(;´Д`)

「ウイルスバスターを再インストールしてください」だそうな・・・おいおい

再起動しては見た物の、どうにも調子が悪そうだし、なにげに動作的にも変なような？

ネットワークから切り離して、アンインストールして、再インストール・・・これで解決？

・・・と願ったが、そうは問屋が卸してはくれなかった。(;´Д`)

今度は、「TROJ_DLENA.AT」にやられました。｡゜（゜´Д｀゜)゜｡ウァァァン

恐らく、再インストール前から動いていたと思われるのだが、再インストールする前には、まったく検知してくれてなかった。
再インストールした後、アップデートを行ったにもかかわらず、それでも検知できなかった。
今回のは、既に12月の時点で対応しているはずなのに、検知できなかったのだ。

自分の役目を果たしてくれてない・・・買った意味なしってやつか？！

再インストールしたことで、「不審ソフトウェア警戒システム」が働いて、たまたま気付いたから対処できたと言える。
恐らく、ウイルスバスター使ってる人の大部分がスルーしてしまうと思われるので、本当に偶然といえば偶然かもしれない。
まあ、日頃から、気にかけるようにしているから、気付けたとも言えるが。

前回感染した奴は、ちゃんと検知してくれてたので、ログに記録されてたんだけど、残念ながら、アンインストールしたらログが消えてしまったので、何だったのかは思い出せなくなってしまった。(；´∀｀)

感染記録として残しておきたかったのだが、まあ仕方ない。
が、今回のは、記録には残らないが、記憶には残りそうな感じだ(苦笑)

どうして気付いたかというと、再インストールした後に、「不審ソフトウェア警戒システム」が機能してくれたからだ。
「不審ソフトウェア警戒システム」は、システムへの操作が行われたり、ネットにアクセスしようとしたりするソフトウェアを検知するものだ。

最初の内は、システム側では許可してOKなソフトかどうかわからないので、まったく問題ないソフトだとしても、システムへの変更を許可するか、ネットへの接続を許可するか、など、必ず許可するか否かを聞かれまくる。
実に、ウザったいことこの上ないのだが、うるさいのは最初の内だけで、一度許可すると記録されるので、最初の内だけ、一応、何がアクセスしに行っているのかを確認しながら、許可を出しているわけである。

＃これが、ソフトをアップデートしたりすると、また聞いてくるのだが・・・
＃でも、今回のようなこともあるし、実に有用ではある・・・うざいのを除けば (;´∀`)

今回は、そういった警告の中で、
・「svchost.exe」が「TCP」でポート「25」を使ってネットにアクセス
しようとしているのを許可するかどうかを聞いてきたので気付いたのだ。

「svchost.exe」ってのは、サービスとかが起動されると呼び出されるので、タスクマネージャで見るとプロセスにいくつも「svchost.exe」が表示されるので、そう珍しいものじゃない。
珍しくないだけに、普通だったらスルーしてしまいがちなものである。

ただ、今回は、ポート「25」を使うようなものを起動させていないはずだったから、たまたまおかしいことに気付いて問題化したのである。

ポート「25」と言えば、メールを送信するとき、SMTPサーバと通信する際に使われるポートなので、メールソフトであれば使うのもわかるし、自宅でメールサーバを立ち上げてるなら、それが使うのもわかる。
ただ、メインPCにはメールサーバは立ち上げてないし、メールソフトも起動していなかったので、その状態でアクセスしようとしているのは、明らかにおかしいことになる。

問題は、何がsvchost.exeを使って、ネットにアクセスしようとしているかだが、それを特定するのは、結構面倒な場合もあって、やっかいなのだ。

＠IT：Windows TIPS -- Knowledge：svchost.exeプロセスとは？
http://www.atmarkit.co.jp/fwin2k/win2ktips/400svchost/svchost.html
「svchost.exe」の正体を探る - GIGAZINE
http://gigazine.net/index.php?/news/comments/20061009_svchost/

いつも、感染の脅威にさらされていることは認識してるので、svchost.exeの正体を探れる体制にはなっているのだが、今回はほんの数秒でいなくなってしまうらしく、探るに探れなかった。

唯一の手がかりは、不審ソフトウェア警戒システムが表示している、接続先のIPアドレスのみ。
しかも、今は利用されてないIPアドレスのようで、相手先が特定できない。
まあ、こう言うとき、Google様々なわけだが・・・

IPアドレスで検索したら、ウイルスデータベースがヒットした・・・(;´∀`)

マカフィー株式会社--セキュリティ情報--
http://www.mcafee.com/japan/security/virPQ2004.asp?v=Phish-Potpor

数分ごとにアクセスに行き、毎回IPアドレスが違う上に、↑のサイトに載っているIPだけが該当してる・・・
ということは、コレのような気もするが、上記に載っている「lpconfig.exe」なるモノは見つからなかった。

相手先のIPアドレスは同じようだが、別物なのだろうか？と思って、もう少し注意深く探してみたところ、AVIRAのサイトで情報を見つけた。

TR/Proxy.Dlena.AT
http://www.avira.com/jp/threats/section/fulldetails/id_vir/3437/tr_proxy.dlena.at.html

これが見つかったおかげで糸口も見え、トレンドマイクロのサイトでも情報を見つけられた。

TROJ_DLENA.AT
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDLENA%2EAT&VSect=P

トロイの木馬かぁー　Σ(´Д｀lll)

「TROJ_DLENA.AT」の動作は以下のとおりです。
・システムに自身をインストール
・マスメーリング活動

侵入方法：
・悪意のあるWebサイトを介して侵入
・ユーザの手動ダウンロードにより侵入
・他の不正プログラムにより作成

感染確認方法：
・＜Windowsシステムフォルダ＞※内に "RPCC.DLL" というファイルを作成
・レジストリキーを追加

ということらしい。

その正体である「rpcc.dll」も見つかり、レジストリにも該当するキーが見つかった。

「TROJ_DLENA.AT」ってば、「マスメーリング活動」があるのね・・・
どのくらいの期間かはわからないが、迷惑メールをばらまく踏み台になっていたのか・・・(;´Д`)

そのままでは「rpcc.dll」は削除できないので、トレンドマイクロの情報を元に回復コンソールを使って手動で削除するか、「強削」などを使って削除するかして、最後に残ったレジストリのゴミを削除して駆除完了。

その後、何度か再起動したけど、復活する気配もない。
数時間かけて、全ハードディスクをフルスキャンかけたりもしたけど、メールから見つかったウイルスと（一部保存してあるわけだがｗ）、スパイウェアの検知でレジストリに残ってるゴミくらいが引っかかった程度で、それ以外には何も見つからなかった。
※一部、サイトをローカルに保存した際の、GIF画像とかがスパイウェアと見なされたりしているが、それも含むとして・・・
※これはただの画像なので、スパイウェアとまで見なすのはどうかと・・・誤検知の部類だと思うが。

念のため、自宅鯖、サブPC、書斎PCでフルスキャンをかけたり、上記のような悪道いトロイの木馬型ウイルス絡みのレジストリだの、ファイルだのを手動で探して見てみたりしたが、見つからなかった。

まあ、元々は、１１月に感染事故を起こしたところが発端となっているのだろう。
そこから継続して感染しまくってた感があるので、根本が解決できてなかったのかも。

一番最初に他のウイルスに感染したときは、私の操作ミスでやってしまったわけだが、それから気をつけてはいたので、こいつの場合操作ミスではないような木がする。
進入方法にもあるように「他の不正プログラムにより作成」の可能性がある。
つまり、感染した他のやつが勝手にダウンロードしてきて、いつの間にか仕掛けられた可能性だ。

実際、今まで感染してはいなかったけど、何度か警告が上がったことがあった。
その時は感染を防げたわけだが、実は、途中途中で駆除してるつもりで、末端は駆除していても、実は大本が駆除できてなくて、思い出したかのように、駆除して、駆除して、駆除して、そして感染して・・・の「感染の無限ループ」にハマっていたのかもしれない・・・・
今度で完全に駆除できたと思うけど、今回の警告をスルーしていたら、これから先もやう゛ぁいことになっていたんだろうなぁ・・・

しかし、多少実験に使うサブPCやネットにさらしている自宅鯖が感染してないのに、メインPCだけがやられたってのは納得できないなぁ(苦笑)

というわけで、地味だけどヘビーな一日でした。(;´ρ`) グッタリ
まったく、迷惑メールを垂れ流していた可能性があるかと思うと、まったく冷や汗ものです。(;´Д`)

日頃、Javascriptですら、デフォルトで切って使っているような私でも、ちょっとしたミスで感染の憂き目を見ることになるわけで、これが普通の人だったらと思うと・・・
って、そういう人は、２ｃｈとかで怪しげなリンクを踏んで、自爆しないって？(；´∀｀)

まあ、気をつけていても感染するときはするので、というか、気をつけているときの、ちょっとした油断が一番危険なのかもしれないと改めて思いつつ、今後はよりいっそう気をつけていこうと思う今日この頃であります。

以上

Kaspersky Anti-Virus 6.0 12＋3ヶ月 特別優待版[送料無料]
通常価格 6,090円 のところ
MyShop価格 4,600円 (税込4,830円) 送料込
※他社のセキュリティ対策ソフトユーザー向け

ここがポイント！
愉快犯が主流だったインターネットウイルス等の攻撃も、最近では悪質な金銭目的の犯罪行為が目立つようになりました。オンラインショッピングやネットバンキング、ブログなど、生活に「インターネット」が欠かせない毎日になった今、あなたの大切な財産や個人情報、信用を守るために信頼できる「セキュリティソフト」をきちんと選んでみませんか？

権威ある調査期間が認定した世界最高水準の「技術力」と、ジャストシステムの「サポート力」の融合で、お客様のセキュリティを協力にバックアップいたします。