ワームに感染した!!
と言っても自分のじゃなくてカミサンの。
Windows2000 SP4にNorton system worksを入れてあってウィルス対策は一応してある。でもってLANといえばNAT下で外部からの攻撃は受けない様にしてあるし、メーラーもHTML非対応なやつを使っているにもかかわらずだ、どっかのWEBのHTMLの仕込みにはまったらしい。
しきりにNortonからの警告がでる。警告内容はというと IEのキャッシュディレクトリにある d[1].exe だったかな 逆に 1[d].exe
だったかな、・・確か前者だと思うけどそれを実行しようとして警告されてる。で削除できないよっていう表示。そのキャッシュディレクトリを見てみると 1.exe
ってのが有ったような気がしたが、ソッコーでディレクトリごと削除したからわかんなくなっちゃった。
そのファイルを実行しようとしてその後もひたすら警告が表示されるのはうっとうしい限り。
ワームは確か Downloader.Trojan だったかな。そんな名前。うろ覚えですいません。いいかげんなんで・・・・
じゃぁってことで Nortonのスキャンをかけてもなにも出ない。あれ、おかしいなぁと思いつつ、トレンドマイクロ社の、ActiveXのオンラインスキャンを(これ)を試してもなにも見つからない。そのくせあいかわらずNortonの警告は出まくってるし。
じゃあってことで腰をすえてレジストリを調べてみると・・・
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN
ここに怪しいファイルを見つけたよ。
svchost.exe
こいつ。こいつは %ROOT%の中に入ってるやつなんだけど、よくよく調べると %ROOT%直下じゃなくて%ROOT%\system32\ の中にいるのが正しい。そしてそこには本物がちゃんといるし。
ということでC:\WINNT\svchost.exe は偽者だってことだね。 タイムスタンプを見るとちょうど感染した日付になってるじゃないの。
どうやらこのファイルが定期的にIEのテンポラリキャッシュにある実行型ファイルを呼び出すらしいね。
レジストリとファイル、そっくり削除。 ファイル名の偽装の為にnortonもtrendmicroも見つかんなかったのかな?