トップ   >   カテゴリ表示:security セキュリティ

巧妙に仕組まれた史上最悪のマルウェア“Antivirus Trigger”に感染していた件。

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/23214135.html

巧妙に仕組まれた史上最悪のマルウェア“Antivirus Trigger”に感染していた件。

実は昨日までの数日間、私の機嫌は悪かったです。
というのも、自宅のパソコンがマルウェアに感染していましたもので。

原因は、私の留守中に、自宅に居た者が、
わけも分からず、無料のウイルス対策ソフトと思い込んで
マルウェアをインストールしたらしく。。
自宅に帰ったらPCがとんでもない状態になってました。φ(´д`o)

IEにはいつの間にかヘンなツールバーが付いてるし、
タスクトレイにもヘンなアイコンが出てるし、
セキュリティーアラートバルーンは消しても消してもでっぱなし。
たまに勝手にIEのウインドウが開いてヘンなサイトが勝手に開くし
システムを起動するたびに自動的にヘンなソフトが立ち上がって
検索し始めて、通常のステップでは止めさせてもくれないし、、

もう、さいあくだφ(´д`o)


実は過去にもこういうことがあって、その都度ちょいちょいと削除したのですが、
今回はかなりのツワモノ。

取り除こうとしても、あれこれ抵抗してきます。
これまでに感染したなかで、一番ひどいφ(´д`o)

たとえば、ウイルス対策ソフトのサイトに行って
オンラインウイルススキャンをしようとすると、
処理の途中でへんなエラーが出て、拒まれてしまったり。

正規の対策ソフトのアーカイブをダウンロードしてきて
インストールしようとしても、それを拒んできたり、かなり厄介φ(´д`o)

。。。これは少し腰をすえて対策ねらなきゃならんな、と思ったのですが、
平日だったので自宅で私が活動できる時間が限られました。

結果的に、2日ほどまたいで、昨日の段階で、少なくとも表面上は正常に戻せました。


というわけで、以下、騒動の一部始終を書きます。



とりあえず、最近入ったアプリやら、怪しいツールバーなど、
手作業でアンインストールできるかな、と思ったのですが、どうもできなさそうでした。
そこで、いい機会なので、ウイルス対策ソフトを買おう!ということになりまして。

いままで対策ソフト入れてなかったのかよ!
といわれそうですが。そうなんです。入れてませんでした。(*´д`*)

更新料のいらない、ウイルスセキュリティゼロ。
https://www.sourcenext.com/eshop/action/es_cartadd?com_id=DL009868&quantity=1

↑とりあえず、これをダウンロード版で買いました。

インストールして、ユーザ登録して、
ウイルス定義を最新にした状態でPC全体をチェックしました。

いくつか怪しいウェアは検出され、隔離されたり、削除されたりはしたですが、
変なツールバーこそ消えてくれたもの、

001
タスクトレイにヘンなアイコンが点灯して
消えないバルーンが出たり

06
止められないシステム診断のオートラン

※↑無理やり止めたい場合は、コントロールオルトDELETEボタンを押して
 タスクマネージャを開き、
 01
↑VirTrigger.exeを殺せばOK

07
勝手なサイト等への接続

などなど、さまざまなものがそのままで問題は山積みです。
これはイタイし、第一、PCの利用に影響出すぎです。

08
しかも、ウイルスセキュリティゼロがこんなバルーンを
数秒ごとにループして出し続けてきます。

フォルダに見にいって、これを削除したあと、再起動したあとも、
ひたすらこのバルーンが数秒ごとに出ては消え、出ては消え、、、
という状態が永遠に続いていました。

対策ソフトのせいで、さらに、ウザさが倍増することにφ(´д`o)
ああ、、だめだこりゃ、せっかくお金払ったのに(*´д`*)

ウイルスセキュリティZERO (新パッケージ版)
ウイルスセキュリティZERO (新パッケージ版)
posted with amazlet at 08.11.22
ソースネクスト (2007-04-05)
売り上げランキング: 583
おすすめ度の平均: 3.5
1 心配
2 再インストール多発
1 リカバリーCDが必要な代物
1 安くて軽いだけ
4 一年以上使ってますが問題なし
Amazon.co.jp で詳細を見る


評判もそれほどよくないですし、このソフトはやっぱ気休めですかね。
それか、感染後では効果なし、ということですか。



もう、これは、自分でじっくりこのマルウェアのことを調べて
手動削除するしかないな、と腹をくくりました。めんどいけど。

海外サイトにこのマルウェアに関する記述がいくつかありました。
一部日本語訳したものを紹介すると、、

09
Antivirus Triggerは、インターネット上で多くのコンピュータユーザの中で
大破壊を加えている偽アンチスパイウェアアプリです

だそうです(*´д`*)

あんしんしました。相当な悪党なのですね。
これは成敗しないとヽ(皿゜;;ヽキシャアアアア



手動アンインストールの手順についても
英語サイトではありますが、いくつか解説しているサイトがあり、
それをたよりに調べてたのですが、

SpyHunter 3というスパイウェア検知ツールを導入して、これで
このマルウェアを検索するのがもっともよい方法のようでしたので
さっそく試してみました。

Capu002
こんなかんじです。このソフトではスパイウェアを検索した後、
削除までを行う機能はあるのですが、削除するには有料登録が必要でした。
有料とは、、なんだかなぁ(*´д`*) ということで
レジストリなどをいじるのは怖いけど、削除は手動でやることにしました。

08
こんなかんじで今回の怪しいのがずらっと出てきました。
これを削除したらよいのでしょうね。

レジストリをいじる場合は、Windows Rを押して
regeditでレジストリエディタを出せばOKですね。

Locationのところで、HKLM\........ と書かれている部分の
HKLM の意味は レジストリエディタでいうところの

002
↑の頭文字なようです。


次。

04
これは相当怪しいファイル群かつ致命的です。

見たところ、ここにあるファイルが、タスクトレイの表示や
ウェブサイトへの自動接続などをつかさどっているようでした。
なので、フォルダごと、全部コロシしちゃいましょう!!削除です!!!!

でも、そのままでは削除できません。
というのも、このマルウェアがシステムで利用中なので。(*´д`*)
なので、まずはプロセス自体を殺してやる必要があります。

WebMediaViewer直下にある.exe系のファイル名は、
実はWindows タスクマネージャでプロセスを見ると
これらが動作中であることがわかりますので、これを殺せば(停止すれば)よいです。

06
↑たとえば、このプロセスとか。
停止後、ファイルの削除ができるようになるはずです。

Program Filesフォルダ直下にあるものの、気づきませんでした。(*´д`*)
WebMediaViewerとかいう、もっともらしいディレクトリ名ということと、
Wではじまる名前なので、Program Filesフォルダの最下に位置されることから
見落としていたのかもしれません。
、、、にしても、意図的であれば(たぶん、意図的)、
このソフトを作った奴(奴ら?)は実に巧妙であるなぁと。



他にも、書き漏れているものはあると思いますが、
とりあえず、ここまでやれば表面上は、正常に戻ると思います。

もし、このマルウェアにかかったら、本記事を参考にしてみてください。
でも、本当はOSの再インストールぐらいしてしまったほうが
よいと思いますが(*´д`*)


●外部参考リンク

マルウェアとは
http://e-words.jp/w/E3839EE383ABE382A6E382A7E382A2.html

Antivirus Triggerをアンインストールする方法を教えてください。 - 教えて!goo
http://oshiete1.goo.ne.jp/qa4497096.html

Antivirus Trigger Removal Instructions (AntivirusTrigger) For Windows XP/Vista
http://tinyurl.com/5jku98
Antivirus Trigger のアンインストール方法の英語情報。

「登録メールアドレスが正しくありません」ではなく「登録メールアドレスかパスワードが正しくありません」と、お茶をにごされる理由。

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/18659888.html

「登録メールアドレスが正しくありません」ではなく「登録メールアドレスかパスワードが正しくありません」と、お茶をにごされる理由。

たとえば、登録メールアドレスとパスワードを入力して
会員機能にログインするサイトがあった場合に、
メールアドレスは合っているはずなのに、「登録メールアドレスかパスワードが正しくありません」と
お茶をにごされる理由をご存知でしょうか。

もし、上記の場合に「パスワードが正しくありません」とだけ表示すると、
メールアドレスは合っているんだな、と分かるので
パスワードだけ思い出せばよいので便利かもしれません。

けれども逆に言えばメールアドレスは合っている、ということが分かってしまうということです。
あなたにとっては良くとも、誰か悪意を持った第三者が
ログインを試しているとすれば、さぁどうでしょうか。
「お メールアドレスは合ってるんだな。あとはパスワードさえ何とかすれば…」
という事態になるのです。

多少不便になるけれども、こういう理由(セキュリティ強化のために。)があるので
曖昧にされています。(だと思ってます。)

ちょっと思い出してもらえればわかると思いますが
どのサイトでもそうなってます。

知ってますたって?
豆知識ですた(*´д`*)

見過ごしていた、ログインシールの意味を、今、知りました。

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/13941606.html

見過ごしていた、ログインシールの意味を、今、知りました。

偽装サイトとの見分けが
つくようにログイン画面に独自の
施しをすることなんですな。

ログインシールとは
http://help.yahoo.co.jp/help/jp/edit/edit-71.html

.htaccessを使ったアクセス制限を最低限メモ

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/4536815.html

.htaccessを使ったアクセス制限を最低限メモ

詳細な説明は省きます。

.htaccessファイル
AuthType Basic
AuthName "IDとパスワードを入力されたし。"
AuthUserFile /home/nishishi/pw/passwd.dat
require valid-user


IDとパスワードを格納したファイルを作る
suzuki:XkB8Ou3kAcODe
yamada:5dHw0u9s4TltI
inoue:A0e7PvhEdWyvE


注意
IDとパスワードを格納したファイル(今回の例では password.dat )は、 サーバ内の、Web上では閲覧できないディレクトリに格納しておく方が安全です。
もし、自分に割り当てられた領域が /home/1/myarea/ で、Webに公開される領域が /home/1/myarea/www/ だとしたら、 /home/1/myarea/ 内に適当なディレクトリを作成して、そこに格納しておけば、Web上からは絶対に(IDとパスワードを格納したファイルを)閲覧することはできなくなります。



●参考
http://allabout.co.jp/internet/hpcreate/closeup/CU20020910A/index2.htm

続https

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/4536636.html

続https

https系の問題で
ググっているとあちらこちらで
解決方法の提案がありましたが、
その中のひとつをここに引用しておく。


Q8:「セキュリティ情報」というPOP-UPが表示されるのだけど?
SSLの証明書期限が切れていないのにも関わらず、SSLのURLでアクセスして「セキュリティ情報」というPOP-UPで以下のような内容が表示される事があります。 このページにはセキュリティで保護されている項目と保護されて
いない項目が含まれています。

保護されていない項目を表示しますか?

[ はい(Y) ] [ いいえ(N) ][ 詳細情報(M) ]
これはページのコンテンツにローカル以外の画像やFlashなどのOBJECTタグが含まれている時に表示されます。画像の場合は、

img src="⁄image⁄abc.gif

のようにローカルパスで表示する事に気をつけてください。 FlashなどのObjectコンテンツの場合は、PHPスクリプト等でSSLでアクセスした場合とそうではない場合に分けて出力しましょう。 こちらがFlash+PHPの場合の例(弊社サイトで使用)ですので、参考にしてください。




<OBJECT classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="<?if($_SERVER["SERVER_PORT"] == '443'){print("https");}else{print("http");}?>:⁄⁄download.macromedia.com⁄pub⁄shockwave⁄cabs⁄flash⁄swflash.cab#version=6,0,0,0"
WIDTH="300" HEIGHT="75" id="logo" ALIGN="">

<PARAM NAME=movie VALUE="⁄swf⁄logo.swf">
<PARAM NAME=quality VALUE=high>
<PARAM NAME=bgcolor VALUE=#ffffff>

<EMBED src="⁄swf⁄logo.swf" quality=high bgcolor=#ffffff WIDTH="300" HEIGHT="75" NAME="logo" ALIGN="" TYPE="application⁄x-shockwave-flash"
PLUGINSPAGE="<?if($_SERVER["SERVER_PORT"] == '443'){print("https");}else{print("http");}?>:⁄⁄www.macromedia.com⁄go⁄getflashplayer">
<⁄EMBED>

<⁄OBJECT>

セキュア(https)ページ作成時の注意メモ

共有ボタン付きページはこちら: http://tech.kimihiko.jp/article/4536633.html

セキュア(https)ページ作成時の注意メモ

ページ内にhttpとhttpsからの両方が混在する場合は、
このような警告が出る。



ここで、いいえ、を選択すると、
それらは表示されない。

つまり、たとえば画像がhttps外にあると、
この場合、表示されないので注意が必要。

なので、
少なくとも画面表示系の外部ファイルは、
ぜんぶhttpsに置いたほうが無難かも。
関連する記事(広告含む)
1