Javaが古いとサポート中OSも簡単にウィルスに感染する例
知り合いから Twitter のDMで、Avastがなんかサイトブロックしたって表示したんだけど大丈夫だろうか?
って相談がきたのでちょっとTeamViewer 10 を Windows 2000で起動してみてあげることにした。
まず、ログ探しから。
Avast! 2014はなんていうか、ログを見る機能がネイティブでないような…。
どこにあるんだよ…って感じだった(使ってる本人も見つけられなかった)
C:\ProgramData\AVAST Software\Avast\report
| * アバスト リアルタイム シールド スキャンレポート * このファイルは自動的に生成されます * * 開始: 2015年6月20日 7:43:02 * 2015/06/20 |
マルウェアさんちーっす・ω・
というわけでブロック時間がわかったのでIEのセキュリティオプションにこのサイトを制限サイトとして登録
まぁ、Avast最新だし大丈夫かなってことで、これでいいかな?って話になりかけたのだけど、念のためPCのセキュリティチェックをすることに…
コントロールパネルを開いたところ…。
6u27-Relnotes
( ゚д゚)
(つд⊂)ゴシゴシ
(;゚д゚)
(つд⊂)ゴシゴシ
(;;゚д゚) !?
おぃおぃ・・・Java 6 Update 27って4年前のですぜ…これウィルスに感染してないほうが不思議なんだが
というわけで念のためPCの詳細チェックすることに
msconfig 見ると、明らかに怪しいスタートアップがある件について。
フォルダの日時が さっきの警告の1時間前。もしかして、ウィルスに感染したあと、ウィルスが何かやらかして検出したのでは?
Antivirus scan for ab1c9b9c560889bb38e23d62a6e90506eefab345cc16f89f27a6b052a69f8e37 at 2015-06-20 13:22:01 UTC - VirusTotal
はい、ウィルスでした。Avast!さんはスルー。現状で検出できるのESET NOD32くらいですね
裏で海外サイトにアクセスしつづけるIEのキャッシュ。だめだめです。
削除しようとしたところ、explorer.exe がファイルを復活させてる!?
どうやら、EXPLORER.EXE を乗っ取ってるようだ。
EXPLORER.EXEを落としたところ削除できた。
しかし、Xibeywが削除できない
どうも隠しプロセスが動いてるのか殺したプロセスがリソースリークさせて、Threadだけ生きてるらしいNon-existent Process
とりあえず、別ユーザーを作ってログアウトしてそっちから入ってフォルダもクリーニング
次は、ウィルス感染経路の特定。
フォルダが作られた時間のIEのアクセス。
感染源は 『最新影片日本AV - ThisAV.COM -世界第一中文成人娛樂網站』
タイトルから、中国系のアダルトビデオサイトっぽいですね。
怖い怖い。
とりあえず、Java最新版に置き換えて 今回は終了
OSのサポート中であっても、Javaが古いとサイト見るだけで感染するといういい例でしたね。
しかも、セキュリティソフトで検出できないという。
(ほかにも、ウィルス感染したっぽい形跡がありましたが、検出がウィルス定義更新で、ずいぶん経ってから削除されたような感じ)
|。・ω・)。o ( むしろOSのサポートが切れてても、JavaとFlashとブラウザが最新なら滅多に感染しないよ )
|。・ω・)。o ( あと、本名でPC使うの辞めよう)
Translate
エロページが感染源とか参考になりました。大抵は実行しないと感染しないものばかりで「見ただけ」で感染するなんて信じられませんでした。
駆除方法も重要ですが感染源まで公表してくれて非常に助かります。例の情報流出事件ではpdfが実はexeでしたとかそんなのだったらしいですね。
アダルトサイト&中華サイトのダブルコンボはまずいですよ。
マイナー系はどんなに対策しても気をつけなくては。。。
記事を読んでいて、こんだけアレならば、データ退避させてリカバリした方がいいのでは?と思いました。
マルウェアの1つや2つならまだしも、普通にTASKKILLできないプロセスが走るなら、汚染も考えたるとこのままだと好ましく無い気がします