恐怖!Symantecの副電子署名を使って検出を迂回するウィルス

会社のPCには、一貫して、 Symantec 製のウィルス対策ソフトが入ってるのですが、
調子が悪いので見て欲しいと言われたPCが明らかにウィルスに感染している挙動なのに、ウィルスが検出できなくて変だという話になりました。

何がおかしいかというと、定期的に、既定のブラウザが勝手にタブを作成して、

www.adcash.com
creative.xtendmedia.com
ads.adsrvmedia.net

などのマルウェアサイトに飛ばされるんですよね。

Firefox でも IE でも Chrome でも発生するので、ブラウザ関係ないのです。
つまり、アドオンではない!



レジストリに異常はないのでタスクスケジューラーをチェックしてみました

tsk2

tsk
なんか見慣れないタスクがありました。

tsk4
ログイン時と AM 9:27 に自動起動、おそらくこれ?

tsk3

裏で動いてるプログラム…1Gのメモリ使用!とんでもないw

tsk5
実行ファイル LuckyTab.exe という名前のウィルス
署名は T Module Gmbh

見てみるとデジタル証明書があるんですが…

Symantec Time Stamping Services Signer - G4 !?

tsk6
そう。
副証明書が Symantec Time Stamping Services CA - G2 になってるため、Symantec のアンチウィルスで検出できないのです。アホかいw

Antivirus scan for 7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be at 2015-02-15 19:24:32 UTC - VirusTotal
ちなみにウィルスはこちら

おまけ:
Sophos Virus Removal Tool
マルウェア駆除ツール | マルウェアの検出と駆除 (無償) | ソフォス
最初、有名セキュリティソフト会社の Sophos の除去ツールに頼ってダウンロードしようと思ったんですが、
メールアドレス登録して、ファイルダウンロードしようとしたら、 404 …メールアドレスだけぶっこ抜き!

http://downloads.sophos.com/inst_tools/ セッションID /withides/Sophos%20Virus%20Removal%20Tool.exe
こんな感じ…ひど過ぎるw

一番、酷いのは、除去方法書いてるサイトが的外れで、別名のマルウェアをインストールさせようとするところばかりだったことw。 SpyHunter とかね。

LuckyTab を削除する方法 | 高速なウイルス駆除
www.removebrowservirus.com/jp/delete-luckytab/
リンク貼らないけど、SpyHunter という偽ソフトを入れさせるサイト

未だに SpyHunter に引っかかる人がいる件

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です