スパイウエア感染始末記

2004/04/10

2004/4/10に、ネットサーフをしていたら突然 Internet Explorer に変なページが現れるようになった。その後IEを立ち上げると、英文の検索ページが出るようになった。 通常なら、「ツール」「インターネットオプション」で初期ページを設定出来るのだが、これが効かなくなった。 ウイルスチェックを行うとAGOBOTに感染していると出た。 私はWindows Updateは必ず行い、メールの添付ファイルは実行しない方法で、ウイルス感染を防いできた。 メールからの感染は絶対にない。WEBからの感染も考えられないが、現実には感染したのでともかく始末した。 その後4/14にMicrosoft社の発表で IE のセキュリティホールのパッチが出て来た。 やはりこれが原因であったとしか考えられない。 その後知人のマシンも Norton Anti-Virus をインストールしてあるマシンが、ネットサーフ中にスパイウエアを植え付けられた。 パッチ当ても遅れれば何にもならないと言う教訓である。

 私はアンチウイルスソフトは、予期しない作動をすることでの悪影響を考慮して使わない事にし、次の対策でしのいできた。

1.メールの添付ファイルは確認するまでクリックしない。
2.HTMLメールは表示しない。
3.Windows Update を頻繁に行う。

所がネットサーフで感染し、その処置にほぼ8時間掛かり、やっと修復できた。 その顛末を記しておく。

感染の状態

ホームページを飛び歩いている時に、予期せぬ頁が突然自動的に出現した。 英文で「貴方の情報がFBIにFIXされた。 至急次のURLをクリックして対策を打ちなさい」というような文章が出て来た。 ツールバーもない画面なので、Ctrl+Alt+Deleteでタスクマネージャのアプリケーションから「タスクの終了」で終了した。(URLのクリックはしていない)

所が、Internet Explorer を立ち上げると、先ほどの英文頁が出てくる。「インターネットオプション」を調べると、ホームページのアドレスが書き換えられており、そこを修正しても反映しない。 よく見るとそのアドレスは C:\WINNT\sequrity.htm(だったと思う)になっているので、Explorerを開いて該当ファイルを削除した。 これで直ったものと思ったが、IEを起動すると、ファイルが見つからないと言う警告が出るようになった。 レジストリが書き変わっているらしいので、regeditを調べると HKEY_CURRENT_USER とLOCAL_MACHINE の Software/Microsoft/Internet Explorer/Main に3カ所(確かDefault URL、Start Page、一つは忘れた)このアドレスの記述が入っていた。 この3つを自分に設定に書き換えても書き換えが反映しない。

ここにいたって、どうやらウイルスに感染したものと考えざるをえなくなった。 ネット接続を切って対策に取りかかった。

ウイルスの特定と削除(1 ダメージ クリーンアップ)

トレンドマイクロ ダメージ クリーンアップ をここから ダウンロードしてチェックした。その結果、

Damage Cleanup Engine (DCE) 3.5(Build 1119)
Windows 2000(Build 2195: Service Pack 4)

Start time : Fri Apr 09 22:54:13 2004

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Administrator\デスクトップ\auto_tsc\tsc.ptn" (version 310) [success]
WORM_AGOBOT.HH[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","soundman.exe") success

Complete time : Fri Apr 09 22:54:20 2004

Execute pattern count(762), Virus found count(1), Virus clean count(1), Clean failed count(0)

と表示され、確かに WORM_AGOBOT.HH に感染していた。 ダメージクリーンアップによりsoundman.exe は削除され修復したものと思ったが、IEのホームページアドレスの異常は改善されていない。

このWORM_AGOBOT.HHを調べると、2004/04/06に発見された新しいもので、まだ日本語の解説はなく、英文の解説しかなかったが、IEのセキュリティホールを利用して感染し、 ポートを開けたりアンチウイルスソフトを止めたりするが、ウイルスメールの発信源にはならないと言うことが判明し一安心した。

所が、ポートを開けてハッカーに接続したり、あらかじめ設定してあるIRCサーバーに接続し、ハッカーからのコマンドを受け取ると言ういたずらをすると書いてあるが、正しくこれに該当した。

ウイルスチェック(2 NAVのインストールとチェック)

購入し使っていなかったNorton Antivirus2004 をインストールしCドライブのみチェックした。 1時間以上掛けて事前のウイルスチェック、インストール後のウイルスチェックを行ったところ次の4つが見つかった。

Downloader.Trojan 勝手にネット接続をして、有害なファイルをダウンロードする。
Trojan Noupdate.B ウイルス定義ファイルやWindowsUpdateを行わせないソフト。
Dialer.tibs 自動でダイアルアップ接続を行わせるソフト
Dialer.wsv 同上

これらを、NAV上で削除しようとしていくつかは削除できたが、全ては削除出来ず失敗した。 原因はマシン起動と同時にこれらのソフトは起動してしまうので削除出来ないことになる。 再度セーフモードで立ち上げ、延々と1時間かけて再インストールと再チェックをし削除した。

ウイルスチェック(3 トレンドマイクロ On Line Scan)

インストールしたNAVを無効にしておいて、On Line Scan を行った。 その結果次の8項目が見つかった。

ウイルス名  
JAVA_BYTEVER.A 3 トロイの馬型でセキュリティホールがなければ作動しない。これらは全てInternetExplorerの一時ファイルとして保存されていたもの。
JAVA.NOCHEAT.A 2
TROJ.SMALL.A 1
WORM_MYDOOM.A 1 ゴミ箱中にあったもの。従って影響なし。
TROJ_MUSS.A 1 勝手に4個のファイルをコピーしていた。ダイアラープログラムを実行する。

結果は有害なものはなかったことになる。トロイの馬型は、セキュリティホールにしっかりとパッチを当てていれば感染しない。 MYDOOMはゴミ箱中、MUSSは実行されていたことが不思議だが、ダイアルアップ接続の環境はないので問題はない。

ただ気になるのは、Nortonで何もないことを確認して、Trendmicroのものでチェックすると出て来たことである。トロイの馬型は、この段階では単なるファイルであり、実行するときに検出するのであれば、それはそれなりに納得する。 MYDOOMはゴミ箱だからノーチェックなのだろうか。 MUSSを検出しない理由は不明である。

ともかく Temporary Internet Files 内のファイルを削除し、ゴミ箱を空にし、MUSSが作った4つのファイルを手動で探して削除した。

Cドライブの最終スキャン(4 NortonとTrendmicro)

1時間かけて、2つの方法で最終確認を行い問題無いことを確認した。

regeditの修正とポートチェック

ここまで進んでも、Internet Explorer は起動時にローカルドライブ(C:\WINNT\sequrity.htm)を見に行き、ファイルが無いという警告を出す。 regeditを開き、このアドレスになっている項目を全て削除して、IEを起動し「初期設定」にすることで解決した。(この書き換えはTrojan Noupdate が行ったものである)

併せて、私のマシンのポートを外部からチェックして、全てのポートが安全であることを確認した。

データドライブのウイルスチェック

トータル40GB以上あるデータ収納ドライブを2時間弱掛けて完全スキャンした。メールデータもこちらにあり、ウイルスチェックの契約していないメールサーバーもあり、200個弱のウイルスを検出した。 いままでは、メールソフト内のゴミ箱に入れていたものだが、面倒なので全て削除した。

原因

それにしても何故感染したのかわからない。 今回の発端は WORM_AGOBOT.HH に感染し、このワームによって、勝手に有害なファイルがインストールされたものと思われる。 削除した有害ファイルは全て2004/04/09 22:21〜22:23 にインストールされている。 WORM_AGOBOT.HHを削除したのは 22:54 であるので、約30分間に被害が拡大したことになる。

WORM_AGOBOT.HH は新しいウイルスではあるが、悪用しているセキュリティホールは既知のもので、MS03-026、MS03-001、MS03-007 でありこれらは全てWIN2000SP4で対処済みのはずである。 未知のセキュリティホールがあるのか、あるいは無意識にWEB上でクリックしたのであろう。

MS社はこの問題に対して04/14にWindows Updateで対応した。やはり新しいセキュリティホールがあって、悪意のあるホームページの閲覧だけで感染したもののようだ。(4/15記す)

スパイウエアー対策 (04/15)

4/14に知人からウイルスにやられたらしいと電話があった。Nortonがインストールしてあるマシンなので、これでスキャンしたが感染は見つからない。 念のためにトレンドマイクロのOn Line Scan を掛けたが、感染なしであった。 しかしながら IEを起動すると、英文の検索頁が出る。「ツール」「インターネットオプション」でホームページを「標準設定」をクリックしても効かない。 仕方なく電話で regedit を操作した所、Default Page_URL、Default Search_URL、Search Bar、Search Page、Start Page がhttp://www.nkvd.us になっていた。 ここを書き換えても再起動すると、再び書き換えられてしまう。 NKVDで検索すると、アメリカのBBSで同様の事態が発生していることは判った。しかしながら復旧には一般的な対策が無く、同じ方法で成功したりしなかったりしている。

知人のケースはレジストリを書き換えても、起動時にスパイウエアがレジストリを再度書き換えているものと思われるので、そのプログラムを特定し削除すれば良いはずである。

この件について修復方法ではなく、所謂スパイウエアと言われるプログラムを検索し、自己の判断で処理する方法をネットで見つけた。参考のために記しておく。

詳細はここに(この頁の表題は怪しげなものであるが)あるので省略するが、要はHiJackThis と言うプログラムを使って、マシン内のプログラムを検索し、Spywareプログラムを削除するという方法である。 問題はどのプログラムがSpywareであるかと言うことである。  米国のBBSではチェック結果を示して、BBS参加者がこれだろうあれだろうと指摘している。 どのようなソフトが動いているかと言うことは分かるものの、どれが有害かと言うことは、我々には分かりかねる。 記録しておいて、CWShredderやSPYBOTで削除した後、再度チェックして何が削除されているのかを調べ経験を積むしかなさそうだ。

その他BBSやMLからのスパイウエアに関する追加情報。 (4/15)

NKVD対策(上記知人の感染したもの)として、アメリカのBBSで CWShredder が効くとあった。
これはダウンロードして解凍し、CWShredder.exeを実行し、FIXボタンをクリックするだけで終わる。(ブラウザを停止してから行うように警告が出る)
私の場合には、これを実行した後レジストリのHCUとHLM/Software/Microsoft/Internet Explorer/Mainを開きStartPageを修正して修復出来たものがあった。

また、ここに説明されている SPYBOT と言う検出と削除のソフトもある。一般的なスパイウエア対策にはこれが使えると思われる。 これを使ってチェックしたら、Internet Explorer のセキュリティホールによるレジストリの書き換えが2カ所見つかった。 上述したように駆除出来ていると安心していたのに・・・・。 原因はレジストリがコードになっている部分で、これは私には見つける術がなかったものである。
しかしながら、SPYBOTでは修復出来ず、前述のCWShredderで修復出来たものもあり、どちらか一方だけでは心許ない。

IEのスタートページが強制的に変更される対策(5/4)

レジストリを変更しても IE の立ち上げ時に反映しないときには、Windows起動時にレジストリが書き換えられていると判断する。 この場合には msconfig 「スタートアップ」でコマンドを調べ、regedit.exeのような怪しい項目のチェックを外す。 WIN2000には msconfig が無いので、「管理ツール」「システムツール」「システム情報」「ソフトウエア環境」「スタートアッププログラム」で探し対処する。

 

私が経験したスパイウエア駆除法

  1. まずはCWShredder、SPYBOTを掛けて見つかった物を削除する。
    SPYBOTは無害な物でも少々怪しいと思う物を全て摘出している。我々には無害かどうかの判断は付きにくいので、指示に従って全て削除しても重大な支障にはならない。SPYBOTで削除を指示した時には、場合によっては非常に時間が掛かることがある。完了すれば完了を知らせる窓が出るので、それを見るまではじ〜っと我慢の子でいること。
     

  2. ウイルスチェックを行う
    アンチウイルスソフトを使っているなら、最新の定義ファイルに更新した上でそれを使い、ウイルスソフトを入れていないなら、OnLineチェックを行う。 ウイルスソフトをインストールしていても、メールから来る物は、その都度自動的にチェックするが、WEB閲覧から来る物は自動ではチェックしないので、定期的にドライブ全てをチェックする必要がある。(これには非常に時間が掛かるので、寝る前に起動して起床後結果を見るくらいの余裕が必要) ウイルスが見つかれば、指示に従って削除をする。 おそらく殆どの物は削除出来ないはず。 削除出来ない理由は、それらのウイルスソフトが起動中のためである。
     

  3. 起動中で削除出来ないウイルスの駆除
    パソコンをセーフモードで立ち上げて、2.に記述したウイルスチェックと駆除を行う。 または、WINDOWS-XPの場合には「ファイル名を指定して実行」で、「msconfig」「スタートアップ」を全て無効にして、ウイルスチェックと削除を行い、完了後必要な物にチェックを付ける。(ウイルスが駆除されれば、スタートアップに項目が出ないはずなので全て有効にしても良いかも)
     

  4. 3.でも削除できないとき
    表示されているウイルスの所在をメモして、レジストリ、やファイルの書き換えを手動で行う必要があるが、これはミスしたら致命的な事態を引き起こす可能性があるので、エキスパートに相談すべき。そのままそれを放置しても支障はないと思われる。
     

  5. Internet Explorerの設定変更
    以上が終わって、Internet Explorer を起動した時、未だに怪しげなページが出るようなら、「ツール」「インターネットオプション」の「全般」「ホームページ」を設定変更すれば良い。
    ウイルス駆除前にこれをしても、再起動すれば起動時にウイルスが書き換えるので直らない。
     

  6. これで直らなければ
    私の知見外です。 しったかぶりしてごめんなさい!!  新しい知見が出来たら書き加えます。
    このほかにも Ad Aware と言う有名なスパイウエア対策ソフトが あります。 これにトライしました。英語で書かれており、インストール時に日本語のパッチを当てれば、ヘルプを除き日本語化します。ソフトに任せてスキャンしたら、私のマシンに67個の異常が見つかり 、調べても分からないと思い全てソフトに任せて検疫した。  問題は2.に記述しているように、起動中のソフトを起動中に削除出来るかどうかである。 テスト出来る環境が見つかればテストして、ここに記述しよう。

システムの復元を利用する

茨城県在住の大島さんと言う方から突然のメールで、「WIN-XP(Me)のシステム復元」で回復するのではないかとのお便りがあった。 とにかく異常が見つかって直ぐであれば、これを使うことで回復する可能性が高いと思う。 なんか変だな変だなと思いながら使っている人は何処まで遡れば良いかが漠然とするので、使い難いかも知れない。 遡れる時点はシステムに何か変更を加えた時なので、あまりにも前に遡るとその間にインストールした物が消えてしまう。(再インストールが必要)問題はスパイウエアが組み込まれた時に、「システム復元」が認識しているかどうかである。 誰かが感染した時にはまずこれを試みてみたいもの。