Javaが古いとサポート中OSも簡単にウィルスに感染する例

知り合いから Twitter のDMで、Avastがなんかサイトブロックしたって表示したんだけど大丈夫だろうか？
って相談がきたのでちょっとTeamViewer 10 を Windows 2000で起動してみてあげることにした。
 
まず、ログ探しから。
Avast! 2014はなんていうか、ログを見る機能がネイティブでないような…。
どこにあるんだよ…って感じだった（使ってる本人も見つけられなかった）

C:\ProgramData\AVAST Software\Avast\report

Report file | Avast Antivirus

マルウェアさんちーっす･ω･
というわけでブロック時間がわかったのでIEのセキュリティオプションにこのサイトを制限サイトとして登録

まぁ、Avast最新だし大丈夫かなってことで、これでいいかな？って話になりかけたのだけど、念のためPCのセキュリティチェックをすることに…

コントロールパネルを開いたところ…。

6u27-Relnotes

(　ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ

(；ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ

(；；ﾟдﾟ) ！？

おぃおぃ・・・Java 6 Update 27って4年前のですぜ…これウィルスに感染してないほうが不思議なんだが
というわけで念のためPCの詳細チェックすることに

msconfig 見ると、明らかに怪しいスタートアップがある件について。

フォルダの日時が さっきの警告の1時間前。もしかして、ウィルスに感染したあと、ウィルスが何かやらかして検出したのでは？

Antivirus scan for ab1c9b9c560889bb38e23d62a6e90506eefab345cc16f89f27a6b052a69f8e37 at 2015-06-20 13:22:01 UTC - VirusTotal
はい、ウィルスでした。Avast!さんはスルー。現状で検出できるのESET NOD32くらいですね

裏で海外サイトにアクセスしつづけるIEのキャッシュ。だめだめです。

削除しようとしたところ、explorer.exe がファイルを復活させてる！？
どうやら、EXPLORER.EXE を乗っ取ってるようだ。

EXPLORER.EXEを落としたところ削除できた。
しかし、Xibeywが削除できない

どうも隠しプロセスが動いてるのか殺したプロセスがリソースリークさせて、Threadだけ生きてるらしいNon-existent Process

とりあえず、別ユーザーを作ってログアウトしてそっちから入ってフォルダもクリーニング

次は、ウィルス感染経路の特定。
フォルダが作られた時間のIEのアクセス。

感染源は 『最新影片日本AV - ThisAV.COM -世界第一中文成人娛樂網站』
タイトルから、中国系のアダルトビデオサイトっぽいですね。

怖い怖い。

とりあえず、Java最新版に置き換えて 今回は終了

OSのサポート中であっても、Javaが古いとサイト見るだけで感染するといういい例でしたね。
しかも、セキュリティソフトで検出できないという。
(ほかにも、ウィルス感染したっぽい形跡がありましたが、検出がウィルス定義更新で、ずいぶん経ってから削除されたような感じ）

|｡･ω･)。o ( むしろOSのサポートが切れてても、JavaとFlashとブラウザが最新なら滅多に感染しないよ )

|｡･ω･)。o ( あと、本名でPC使うの辞めよう)