マルウェア "System Check" にやられました

マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。
- ウィキペディア「マルウェア」より

駆除を済ませてひとまずは落ち着きましたが、覚書程度に、
また皆様にも気をつけていただきたくpostします。

…postしたいんですが。

何が起きたか、どうやって駆除したかは、他のブログに詳しいですし、
むしろ特定のプログラムに対する話をするより先に言いたいことを。


ワクチンだけで安心するな!

…これです。


パソコンにウイルスバスターは確かに入っているのですが、
そのSystem Checkに感染したとき、検知してくれませんでした
おかげさまで、いろいろ駆除ソフトを試したり、ファイルを復旧させたりなんだりで、
日曜日の半日がこの作業に費やされてしまいましたです…はい。



感染して慌てふためく前に、意外と忘れがちである作業を、
皆さんにもやっておいていただきたいのです。




つまり。



たとえ、Microsoftとか、Adobeとか、Appleとか、大手の会社が作っているようなソフトであっても、セキュリティに脆弱性が存在し、不正なプログラムは、この脆弱性を突いて侵入してきます
そこで、その脆弱性を修正したプログラムが後からネットを通じて配布されます。

Windowsとその関連のソフト群の場合は、Windows Updateの自動更新機能でシャットダウン時に自動的に修正プログラムのインストールが行われるので、それほど心配する必要はありません。

問題なのは、それ以外の会社のソフトの脆弱性。
こちらには自動更新機能が入っていないことが多いので、自分で最新バージョンが入っているか確かめないと、いつまで経っても問題が修正されないことになります。

…それでも、ひとつひとつチェックしているのではかなりの労力がかかります。
そんな悩みを解決してくれるサービスが、なんとありました。

F-Secure Health Check
http://www.f-secure.com/en/web/home_global/protection/free-online-tools/free-online-tools

ここにアクセスし、左側"Health Check"の枠内で、言語を「日本語」に設定して検索プログラムをダウンロード、検索を始めます。
すると、Adobe ReaderやFlash、QuickTimeなど、普段からよく使うソフトのバージョンが最新版になっているかどうか確認してくれます。

しばらくするとチェック結果が表示されるので、「次へ」をクリックして「3.プログラム」を表示させます。
ここでプログラムが最新バージョンでないことが分かった場合、その場でアップデートすることができるので非常に簡単です。

詳しい操作方法は、こちらのページに詳しいのでご確認ください。

サイバークリーンセンター:その他のプログラムのアップデート
https://www.ccc.go.jp/flow/04/410.html


★ ★ ★


では、本題に入りましょう。

昔のように、「怪しいサイトにはウイルスがあるから気をつけろ!」ってのも正しいっちゃあ正しいのですが、悪質なプログラムを作る人は、それくらい考えています。

"Web感染型ウィルス"は、先述したように大手ソフトウェア会社の作るようなソフトの脆弱性を突いて侵入してくるウィルスです。
何も見た目には怪しいと見えない普通のサイトであっても、内容が改ざんされ、不正プログラムが埋め込まれていることがあるようです。

今回は、感染直前にJavaアプレットが立ち上がっており(立ち上がるとタスクバーからバルーンが出てわかりますね)、マルウェアは不正に改ざんされ埋め込まれたアプレットから侵入したのだと思われます。

先述したように、きちんと契約期間が有効なウイルスバスターを常駐させていましたが、感染を完璧に見逃されました。


OSはXP Home Editionを使っています。


突然、×印のアラートが20個くらい出て、消そうとすると今度は"System Check"の画面が起動。
また、タスクバーからもしつこく警告アラートが表示され、まるでHDDのファイルが破壊されたかのようなメッセージを繰り返し出し、ユーザーを怯えさせます。
表示された画面にしたがって操作すると、デスクトップから、スタートメニューから、アイコンがどんどん消えていくのです。

その偽プログラムを使ってHDDを検査(してるふり)して修復(のふり)を実行すると、全ての修復が実行できなかった旨の表示が出て、実行するためには正式版を購入しろとせがんできます。
(そんな「ふり」の動作を見せかけている間に、裏ではファイルの不可視化がどんどん進んでいきます)

つまり、ウィルスのようにファイルを本当に破壊してユーザーを困らせるのが目的ではなく、ユーザーを不安に陥れて金を払わせる、いわば「ネット版振り込め詐欺」ですね。

私はここで怪しいと気づきググりましたが、もう少し早く気づいていなかったらものによっては大変なことになるところでしたね…反省。


…かくして、デスクトップなどからアイコンが消え、ファイルが吹っ飛んだように見えますが、
実際には属性がいじられて「隠しファイル」化されているだけで実害はなく、後できちんと処置すれば元通りになりますし、「フォルダ オプション」で隠しファイルを表示する設定に切り替えれば、全てのファイルが問題なく表示されました。


昔からパソコンを使っていて、考え方が古いうちの親父(笑)は、
ファイアウォールをきちんとしてワクチンを入れていれば安心だと思い込んじゃってたみたいですww

落ち着いて落ち着いて。


"System Check"でググった結果、すぐに対処策の書かれたブログ記事がいくつも出てきました。

こちらのブログ記事が非常に参考になりました。

Chonpapa's blog - マルウェア「System Check」駆除手順 その2
(Master: ちょんぱぱ様)
http://chonpapa.cocolog-nifty.com/photo/2012/03/system-check2-7.html

画面上の購入ボタン(左下に"Click here to activate full-functional version"と書いてある)を押して表示される画面に、
適当なメールアドレス(実在しないものを!@が入ってなくてもOKでした)と
レジストコード「1203978628012489708290478989147」を入れてOKすると、ひとまず動作が止まりました。


不可視化されたファイルをプロパティを使って元に戻し、今度はマルウェアの駆除にあたりますが、
私はその前に、ウィルスとかマルウェアとかの正体が知りたくて、当該のソフトがどこにあるか探してみることにしました。
(この方法が全ての"System Check"感染に通用するかどうかはわかりませんので、あしからず。)

「スタート」メニューから「すべてのプログラム」を出すと、その中に"System Check"フォルダが作成されており、中にある"System Check"の上で右クリック→プロパティを表示すると、"System Check"の本ファイルがどこにあるか示してくれます。
(「すべてのプログラム」自体はソフトのショートカットが入っているだけですね(^-^;)

「リンク先を探す」をクリックすると、"System Check"のあるフォルダが表示されます。
私の場合、ファイル名はSystem Checkみたいに分かりやすいものにはなっておらず、無意味な英数字の羅列で構成されていました。
アイコンが、スタートメニューやタスクバー、デスクトップにも表示された「白四角をバックに、Windowsの窓マーク」であることから、当該マルウェアだとわかりましたが。

そのフォルダをリスト表示に切り替え、表示順を「更新日」順にすることで、そのマルウェアの関連書類も一緒に表示されました。こちらも、同じ無意味な英数字の羅列のファイル名でした。


なるほどこれが不正ソフトね…と、画面で確かめました(笑)が、ここで手動で削除したらまた面倒なことになるんじゃないかと思ったので、ここではスルー。

「スタート」→「すべてのプログラム」→「System Check」には、アンインストールソフトも一緒に表示されていましたが、なにしろ作ったのがこのマルウェアの作者ですし、ネットにそれを使うように書いているところもありましたが触らないでおきました。

ここで専門ソフトを登場させます。

使用したのは、ご本家Microsoftが作ったこの無料のセキュリティ対策ソフト。
……だったら、んなもん作る前にOSレベルで対応しろよ!…そりゃ無理かw

Microsoft Security Scanner
http://www.microsoft.com/security/scanner/ja-jp/

こいつをDLして立ち上げ、スキャンしたらきちんとマルウェアが検出され、
処理が終わった後先ほどのフォルダを探しても見つからず、確かにマルウェアは削除されていました。

スタートメニュー内の"System Check"はショートカットなので残骸として残っていましたが、それをクリックしても"System Check"は起動せず、確かに削除できていたようでした。


・・・ひとまず一件落着。ふう~・・・


このあと、ブログ記事にも掲載されていた「ルートキット」というウィルスの感染の有無を確かめるための操作も実行しましたが、見つかりませんでした。

念のため、Windows Updateとウイルスバスターの検索も行いました。


でも、一度ファイル不可視化をされたせいで、
デスクトップの配列がめちゃめちゃになったり、スタートメニュー左側に登録したアプリケーションが削除されてたり、復旧作業は何かと面倒でした。


本当に、せっかくの休日が台無しになっちゃいました(って、入試以降ずっと休みも同然じゃんww)。
とにかく、
ワクチンソフトだけに頼ることなく、ソフトのバージョンを最新に保つということを怠るな!
と学習した一日でした。

テーマ:セキュリティ - ジャンル:コンピュータ

コメントの投稿

非公開コメント

プロフィール

てつた

Author:てつた
KR鉄道館

元駅員さん。
社会人2年目の、法学部卒
へっぽこ新米プログラマー。
たまには旅に出たい。

カレンダー
09 | 2017/10 | 11
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -
最新記事
最新コメント
最新トラックバック
カテゴリ
月別アーカイブ
検索フォーム
RSSリンクの表示
リンク
QRコード
QR