WORM_SDBOT.EY

やられた(気付いた)日 2004/01/11
≪ BackHome ≫

 第4弾は友達のPON氏のPCです。
いつもの最強呪文(fdisk)から、慣れたクリーンインストールの作業が一段落。つまり、Windows Update が全部終了し、各種デバイスドライバも問題なく終了したところです。
OS再起動。モデムのアクセスランプが点滅します。何故か妙だと思ったので、トレンドマイクロのオンラインスキャンをやってみました。
 引っ掛かったのは、"ms093upd.dat" が3個、"MSL32.exe" が1個、"SysInt32.exe" が1個ありました。
 説明文が英語なんでイマイチ詳細は不明ですが、私なりに解釈した結果と対応です。

私的メモ(未確認情報)

TREND MICROの情報

名前 : WORM_SDBOT.EY
感染方法 : 人間による感染ファイルの手渡し?
症状 : バックドアを作成。IRCサーバへ接続。ハッカーからのアクションを待機。
診断方法 : レジストリ(regedit)のキーをチェック。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run と、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices に、
値、"Initializer" = "SysInt32.exe" があるか。
ファイル "SysInt32.exe"、"MSL32.exe"、"ms093upd.dat" があるか。

駆除方法 : マウスと右手で潰しました。
1:活動中のワーム本体を停止: タスクマネージャ(ctrl+shift+ESC)起動。
プロセスの "SysInt32.exe" をクリックし、プロセスの終了。
2:感染ファイルを削除する: オンラインスキャンで引っ掛かったファイルを全て削除。
今回は "MSL32.exe"、"SysInt32.exe"、"ms093upd.dat" が3個で、合計5個。
3:レジストリから値を削除する: "regedit" 起動。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run と、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices の、
値、"Initializer" = "SysInt32.exe" を、それぞれ削除。

補足 : SDBot について。
SDBot ってのはいろいろな種類がありますが、IRCサーバを使用したハッキングソフトらしいです。
要するにコイツが入っていると、ハッカー等に悪用されるっていうことですな。
ハッカーからNTスキャンのアクションがあると、"ms093upd.dat" というコピ−が作成されるそうです。今回はあちこちのフォルダに3個ありました。

 以上の操作で除去できたと思われますが、大きな謎がひとつ残りました。感染ルートです。
私が調べた限りでは「人間による感染ファイルの手渡し」だそうですが、今回はどこからも怪しいファイルは使っていないんですよね。だって、クリーンインストールした直後だもん。
唯一、怪しいのは、Win2k用SP3を保存したCD。当然このCDはクリーンインストール前に作成したもので、私は一切関知していません。
これに乗っかった状態で、CDを焼いたとしたら、ありえますよねぇ。
それともまったくの見当違いで、実は Windows Update 中に、直接NETから入ってきたんでしょうか?
 トレンドマイクロの情報公開日の2日後なので、どこをググってもなかなか情報が集まらなくて。
そもそも私のPCではないから、どうでもいいや。っていう考えもあるんですけれど、どなたか詳しい情報をお持ちの方、対策のヒントでもいいので情報待っています。

≪ BackHome ≫