【セキュリティ】ウィルス感染を手動で見つける方法
なんか、Internet Explorer が異様に重いので 手動で検索したらウィルスに感染していました。
しかし、常駐している、Symantec EndPoint Securityでは検出できなかったんですよね。
良く聞かれるのがセキュリティソフトを使わないウィルスの検出方法なので、そのノウハウの一部を紹介しましょう
1.DependencyWalker(Win9x/NT系)
今回は Dependency Walker で見つけました。
まず、ウィルスの類は隠しファイルにしてることが多いので、属性を見るとHSが大概入ってるので explorer.exe や iexplore.exe をロードすると属性がひとつだけ違うファイルがあったりするのですぐわかっちゃうわけです。
このSpywareの場合は、チェックサムが無い上にシンボルやファイルバージョンがファイルサイズ縮小の為に無いこと、Linux上でコンパイルされてるのでイメージバージョンが 0.0になってることなども特徴的です。
2.CurrPorts(Win9x/NT系)
ネットワークにアクセスしたり、Listenで受け入れるタイプのウィルスの場合は CurrPorts でウィルスの検出ができます。
良くあるのが666xポートを使用するIRC型ウィルスですね。
今回の Spywareは随時ネットワークに接続するタイプではなく、ある程度アクセスするサイトを収集して送信するタイプなので、この方法だと見つけられないのですが。
3.Regmon(Win9x/NT系)
多くのウィルスには定期的に SOFTWARE\Microsoft\Windows\CurrentVersion\Run に自分自身を登録して、自動的にWindowsが起動するときに実行されるようにしようとします。
Regmonはレジストリにアクセスしようとするソフトを検出できるので、意外とこの方法で見つけることができます。
4.msconfig(Windows全て)
定番ともいえるソフトですが、MSCONFIGを使うとスタートアップに入ってるソフトや、変なサービスを検出することができます。
Windows2000にもインストール可能なので、便利ですよね。
4.ProcessExplorer / Windows Defender(Win2000以降)
タスクマネージャーなどでは実行している妖しいプログラムの名前が分かっても、どこにあるのか分からないことがあります。
そんなときに力を発揮するのが Process Explorerです。WindowsDefenderにも同梱されているツールなのですが、実行してるサービスやファイルのパス、詳しいファイル情報、ファイル内部に含まれる文字列なども見ることができるので便利です。
5.VirusTotal
妖しいソフトを見つけたら、VirusTotalなどでチェックします
大手のウィルス検出ソフトでは引っかからないみたいですが、思いっきりトロイの木馬ですね(笑)
因みに、Artemis はMcAfeeの VirusScan Enterprise に入ってる機能です。
ちなみに、GUIDは 3809920F-B9D4-42DA-92E0-E26265E0FB89 でした。
関連サイト:
Dependency Walker
VirusTotal
livedoor ニュース - 窓の杜・Vectorでウイルス感染発覚
Process Explorer
Regmon
[KB906569]更新プログラム 906569 により、Windows XP Service Pack 2 のシステム構成ユーティリティに [ツール] タブが追加される
関連記事:
Windows2000にmsconfig をインストールしてみよう
Windows Defender(正式版)をWindows 2000で使用
 |
Translate
DOS時代からこういうプロセスルールに基づいたシステム常駐ファイルを手作業で掘り返すことが意外と早道だったりするんですよねぇ・・・
RegmonはProcess Monitorに置き換わったみたいですね。
勉強になります