Last Man Standing

« 気が付けば日曜日 | メイン | ドラゴンヘルムFEZ »

ウィルス感染

中の人じゃなくてPCの方です。
中の人はカラフルなパンを食べて腹痛起こすぐらいです。

FEZで回線エラーなくすためにルータ外してFW入れてたんですが
ROで重くなるのでたまに切ってたらその時感染してたみたいです。


感染したのは殆どトロイ系
最近のはダウンローダーまでついてるんですね。
FWはZoneAlarm使ってるんですがブロックプログラムにDown.exeばっか(((( ;゚Д゚)))
何より驚いたのが東方やろうとしてフルスクリーンになったら
いきなり画面が切り替わりスピーカーから人の話し声が…
するとIE起動して中華なサイトが出まくるじゃありませんかっ
もうね、精神的ブラクラよりKOEEEEEEEE

ウィルスの種類は基本的に *.bat と *.exe ですね。
中には隠し属性でさらに不可視(explorerですら見えない)状態だったり。
でもそのファイルが含まれるフォルダのプロパティ見たり
同名のファイルを放り込むとちゃっかり見えたりします。
ウィルスが作動中じゃなければそのまま上書きで消すことも可能です。

で、ウィルス削除できてもなにやら中華なIPから
連続でアタック食らってる感じなんですよね。
TCP Monitorってソフトでパケット監視してると4、5分周期でポート変えて着てます。
032601.gif

whois情報
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 61.152.175.0 - 61.152.175.255
netname: SH-LT-KEJI-CO
descr: Shanghai Longdistance Telecommunication Keji Fazhan Co
country: CN
admin-c: ZF58-AP
tech-c: ZF58-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-admin@mail.online.sh.cn 20030602
status: ASSIGNED NON-PORTABLE
source: APNIC

person: Zhou Feng
address: No.34,East Yanan Road, Shanghai
country: CN
phone: +86-21-63296600-6312
fax-no: +86-21-63232310
e-mail: feng_z@8163.net.cn
nic-hdl: ZF58-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-admin@mail.online.sh.cn 20030127
source: APNIC

仕方ないのでパケットフィルターでIP+全ポートをカットしてますが
それでも違う所から入り込まれてる感じも…


オンラインスキャンの話
有名所だとチェックのみのオンラインスキャンが用意されてます。

ウィルスバスターオンラインスキャン
シマンテック・セキュリティチェック
McAfee FreeScan
カスペルスキーオンラインスキャナ

個人的にカスペルスキーとMcAfeeがいいですね。
バスターは2chログのウィルスコマンドすら拾わないので微妙です。
Win機として判断して拾わない設定ならいいんですがトロイも発見してないしなぁ

ノートン先生のシマンテックはそれなりにいいんですがフルチェックなので
寝てる時とかじゃないとスキャンできないほど時間かかかります。
これ以外は場所指定できるのでシステムフォルダとか特定して短時間も可能ですよ。

カスペルスキーは最近評価されてきたようでトロイ系の検挙は4つの中じゃトップでした。
バスター以外同時にスキャンさせたらカスペ3、Mc2、ノートン1でした。
ただ、どれも違うファイルを探し当ててたので使うなら同時がいいかも。

と言うわけでもしかしたらカスペルスキー買うかもしれないですね…情報集めないと。


ちょと難しい話。
ウィルスの中にはレジストリを書き換えるだけじゃなくサービスまで侵入してくるのもあります。
スタートメニューの設定>コンパネ>管理ツール>サービス(win2kの場合)
で、そのウィルスのサービスが起動してる限り永遠と感染しまくりんぐな訳ですよ。
駆除方法はソフト使えばいいんですが出来ない場合は自分で消すしか!
と言うことで色々調べたら sc.exe というプログラムを使えばいいこということ。
sc 自体はXPなら標準、2kなら拡張ディスクや海外サイトにうpられてるのでそれで。

まずはサービスを起動して怪しきウィルスサービスのプロパティ開いて停止させます。
これで起動してるウィルスファイルを削除可能になります。(出来ないのもあるので注意)
次にsc.exeなんですがコマンドプロンプトで作業しないとダメです。
XPだとどこに保存されてるか分からないのでCドライブ直下の場合を書くと
c:\sc delete サービス名
でそのサービスを削除することが出来ます。
ただ、これでウィルス自体が完全に消えるわけでもないし
他のサービスを間違って消したりもあるので自己責任で。
と言うかむしろイレギュラーな方法なのでオヌヌメしません。

なら書くなって話ですが。

投稿者: らぱん 日時: 2007年03月26日 14:00 | 雑記 |

コメント

基本的によくわからなかった(ぁ

とりあえず、うちもチェックしよう・・・

投稿者: 沙 | 2007年03月26日 18:53

まぁ、自己駆除とかやってないと分かんないしね
要は最近のウィルスはいやらしいと。
カスペルスキーの体験版ちょっと使ってみるかなー

投稿者: らぱん | 2007年03月26日 20:26

コメントを投稿