こんな動作のウィルス・スパイウェアありますか?
◇-?こんな動作のウィルス・スパイウェアありますか?-watto(2004/9/28-12:20)No.204368 ┗?!Re:こんな動作のウィルス・スパ...-o2ka(2004/9/29-00:59)No.204505 ┗?!【ありがとう】Re:こんな動作の...-watto(2004/9/29-11:47)No.204565
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
| 204368 | こんな動作のウィルス・スパイウェアありますか? | watto | 2004/9/28-12:20 |
メーカー名:自作PC 自分で製作 OS名:WindowsXP HomeEdition パソコン名:自作 インターネット全般:インターネット全般の問題 -- はじめまして 友人のPCがどうやらウィルス感染したようだとの事で3日前からウィルス・スパ イウェアの駆除を試みました。AVGがスキャン開始から10秒位で終了(70000 位のファイル数なので普段なら10分以上かかる)。?と思いエクスプローラーを 立ち上げようとデスクトップ上のアイコンをクリックすると一瞬立ち上がった様に 見えてすぐ終了(消える)。その他IEやデスクトップ上のフォルダーやシステム ツール類等(regedt.exeも)解析に必要なスクリプト全て開く事が出来なくお手上 げ状態でした。唯一セーフモード(ネットワーク使用可モード)ではIEが使えま したので、試しにネスケをダウンロードしてインストール。通常モード立ち上げネ スケは使えるではありませんか。IEのセキュホにも感染かな?とは思うのですが なにせ感染がはなはだしい模様で動作に時間が掛かってどうしようもなく... そこでHDDを取り出して別のPCのスレーブに繋いでノートンでスキャン。出て くる出てくる200個以上(V69個+SPW138個)。そこでノートンが駆除 削除できなかった物に関しても手動で全て削除し、exploitも検出されたので、つい でにIEもフォルダ毎削除、これで完璧!と思いきや...動きは少し早くなったもの のやっぱり「すぐ消える症状は改善せず」。 諦めてフォーマットしました(T,T; システムファイル(explorer.exe?)の破損なのかウィルスなのか分かりませんで した...何だったんでしょう??? それと、ノートン等のウィルス対策ソフトは上記のようにマスタードライブで動作 していたシステム入りHDDをサブドライブとして繋いでスキャンしてもブート領 域、システム領域、レジストリ等はスキャンしないのでしょうか? 長文になりました、ごめんなさい。 | |||
▲このページのトップに戻る
| 204505 | Re:こんな動作のウィルス・スパイウェアありますか? | o2ka | 2004/9/29-00:59 |
| 記事番号204368へのコメント >AVGがスキャン開始から10秒位で終了(70000 >位のファイル数なので普段なら10分以上かかる)。 >そこでHDDを取り出して別のPCのスレーブに繋いでノートンでスキャン。出て >くる出てくる200個以上(V69個+SPW138個)。 69個もウイルス感染していれば、ひとつぐらい「ウイルス対策ソフトの コードをハッキングして、スキャンルーチンの頭にサブルーチンの ENDにジャンプするコードを忍ばせる」ようなものがあっても 不思議ではないでしょうね。 一般的にあまり凝ったウイルスは感染させにくいので、そのウイルスは 他のウイルスが開けた穴から侵入したのでしょう。 しかし、どうせジャンプさせるならウイルス感染コードにジャンプさせて ウイルス検索するふりして検索対象ファイル全部にウイルスコードを 仕込むくらいやれば凄いのに・・・(悪魔的一言)。 >システムファイル(explorer.exe?)の破損なのかウィルスなのか分かりませんで >した...何だったんでしょう??? システムファイルもウイルスに書き換えられていた、という事でしょう。 AVGの検索ルーチンと同じく、いきなりENDSUBにジャンプする コードが書き込まれていた(それ自体はウイルスではないので、 ウイルスとして引っかからなかった)のでしょう。 って事は、ウイルス対策ソフト狙い撃ちじゃなくて、「不特定多数の ファイルに対して何らかの操作を行うルーチン」に対して ジャンプコードを仕込んだんですね。 それじゃ、「ウイルス検索するふりして検索対象ファイル全部に ウイルスコードを仕込む」なんてコードは入れられないか・・・。 未知のウイルス対策ソフトにも対応するために、確実な方法を 取ったわけだ(笑)。 >それと、ノートン等のウィルス対策ソフトは上記のようにマスタードライブで動作 >していたシステム入りHDDをサブドライブとして繋いでスキャンしてもブート領 >域、システム領域、レジストリ等はスキャンしないのでしょうか? symantecに聞かないとわからないですね・・・。 レジストリファイルくらいは(名前でわかるから)スキャンするだろうと 思うけど・・・。 | |||
▲このページのトップに戻る
| 204565 | Re:こんな動作のウィルス・スパイウェアありますか? | watto | 2004/9/29-11:47 |
| 記事番号204505へのコメント o2kaさん 有難うございます。 >ENDにジャンプするコードを忍ばせる」ようなものがあっても >不思議ではないでしょうね。 > >一般的にあまり凝ったウイルスは感染させにくいので、そのウイルスは >他のウイルスが開けた穴から侵入したのでしょう。 なるほど、そういう事もありますねぇ... >しかし、どうせジャンプさせるならウイルス感染コードにジャンプさせて >ウイルス検索するふりして検索対象ファイル全部にウイルスコードを >仕込むくらいやれば凄いのに・・・(悪魔的一言)。 o2kaさん やんないでくださいよ(笑; >>システムファイル(explorer.exe?)の破損なのかウィルスなのか分かりませんで >>した...何だったんでしょう??? > >システムファイルもウイルスに書き換えられていた、という事でしょう。 >AVGの検索ルーチンと同じく、いきなりENDSUBにジャンプする >コードが書き込まれていた(それ自体はウイルスではないので、 >ウイルスとして引っかからなかった)のでしょう。 なるほど...何処をどう書き換えられたか全てのシステムファイルのCRCとって 照合して判断するような機能を持った対策ソフト作っちゃえばいいんですね... ...なーんて簡単な物じゃないか(爆; 昔、秀和システムトレーディングの「解析マニュアル第0巻」なんて本やプロテク トに関するあらゆる書籍を読み漁っていた頃とは全然違う世界になっちゃって、私 のような老婆心には付いていけないです(^^; ただ、windowsみててもセキュリティホールがありました。なんて問題じゃなくて 隙間だらけのスクリプトばかりで、NOPが3個つづけばJMP出来るアセンブラレベル の操作をいろんな所でやられたら大変になっちゃいますよねぇ... >って事は、ウイルス対策ソフト狙い撃ちじゃなくて、「不特定多数の >ファイルに対して何らかの操作を行うルーチン」に対して >ジャンプコードを仕込んだんですね。 >それじゃ、「ウイルス検索するふりして検索対象ファイル全部に >ウイルスコードを仕込む」なんてコードは入れられないか・・・。 > >未知のウイルス対策ソフトにも対応するために、確実な方法を >取ったわけだ(笑)。 システムファイルの必要な主要なスクリプトに片っ端から組み込まれた感じ... >symantecに聞かないとわからないですね・・・。 >レジストリファイルくらいは(名前でわかるから)スキャンするだろうと >思うけど・・・。 ですかぁ...正規ユーザー権は切れてるしなぁ(汗; 大塚さん ありがとうございました(^^; ...あれ、o2kaさんでしたね(^^; 失礼致しました(^^;今後ともよろしくお願い致します。 | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
