EXPL_ANICMOO.GEN / DELF.HLX / HUPIGON 他 w

やられた(気付いた)日 2007/06/29
≪ BackHome ≫

 自分のマヌケさを晒すこのコーナー。久しぶりの更新です。
第5弾はかなりてこずりました。というのも、新種のため情報がほとんどないってのと、情報収集をするためのIEが具合悪くなるからです。そういう理由で今回は詳しいことはヌキ。経過説明だけです。

EXPL_ANICMOO.GEN

トレンドのオンラインスキャンにて検出。セキュリティホールを利用するらしい。要警戒。
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\〜うんちゃら〜\w[1].js

HTML_DLOADER.NHA

オンラインスキャンで一緒に出てきた。
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\〜かんちゃら〜\cs[1].htm

TROJ_DELF.HLX

 そもそもの始まりは5月も終わりの28日、ゲーム中に突然処理が重くなり、コケるようになりました。特に変なものをDLしたり実行したりした記憶はございません。
 症状は、約1分間隔で起動しているIEを強制終了させる。その過程でアクティブウィンドウが変わってしまい、他のアプリケーションもまともに使えない。 トレンドのオンラインスキャンにて、C:\WINNT\system32\gdipri.dll → TROJ_DELF.HLX を検出。
 とにかく情報自体が非常に少ないのと(中国サイトに数件あるだけだった)、IEがコケるのが重なり、非常に困難でした。
いっそクリーンインストールした方が早いし楽だと決断。バックアップをセカンダリのスレーブに退避して、fdisk 乙。

 6/12に、またもや不具合が発生。症状は以下のとおり。
前回同様にゲーム中の極端な高負荷。コケてデスクトップに戻ると、あらゆる反応が10秒近くかかる。3点セット(Ctrl+Alt+Del)から再起動やシャットダウンをかけると、「再起動をする権利がありません。」と「システムリソースが不足しています。」のエラー。
 オンラインスキャンすらまともに実行出来ない状態になり、仕方なく fdisk 乙。合掌。

TROJ_HUPIGON.EXI

 クリーンインストールして約5日後、やっと環境設定も終わった6/18に、USBメモリを繋げると身に覚えのないファイルを3個発見。
J:\AutoRun.inf   セットアップ情報
J:\music.com    MS-DOSアプリ
J:\rejoice51.exe  メディアプレイヤーのアイコン
普通に削除してもすぐに復活する。ちなみに AutoRun.inf の中身は open=music.com
激しく怪しいのでオンラインスキャンをかけたところ、J:\rejoice51.exe → TROJ_HUPIGON.EXI を検出。
面倒なのでオンラインスキャン上で削除を実行。
しかしUSBメモリを繋げるたびに、AutoRun.inf と、music.com が、復活。rejoice51.exe はなかったが、非常に気持ち悪い。
そして前回同様にゲーム中にコケるので、バックアップを前回同様にとり、fdisk
 この時は気が付きませんでしたが、実はバックアップが落とし穴。
どうやらこいつは、リムーバブルディスクを接続すると、自身とAutoRunを不可視属性でコピーするらしい。マイコンからドライブをダブルクリックすると、AutoRun からトロイが実行され、レジストリにエントリされる。再起動したところで、「本当にありがとうございました。」ということですな。

 まっさらシステムにバックアップしたファイルをレストアするため、スレーブを接続。有効にするために再起動。「本当にありがとうございました。」そして fdisk 乙。

BKDR_HUPIGON.EVG

 クリーンインストール4回目。環境設定が終わった後、Cドライブルートに見慣れないファイルを発見。オンラインスキャンをかけてみると、
C:\2.exe
C:\ah.exe
C:\pp.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\〜うんちゃら〜\dll[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\〜かんちゃら〜\vmp[1].exe
C:\WINNT\system32\config\svchost.exe
C:\WINNT\system32\SVH0ST.EXE
以上を、ぞろぞろと検出。
 ルートにある一目瞭然の3個とテンポラリのは、問答無用で削除。大文字の SVH0ST.EXE は不正ファイル。svchost.exe の正規パスは C:\WINNT\system32\ なので、位置がおかしい。消そうとしたが実行中のため出来ないとエラー。プロセスで終了させねばならないが、いくつもあってどれが本物か判断出来ない。SlightTaskManager でパスを確認。便利だねこれ。
なんだかんだ頑張ったものの、レジストリとシステムファイルがガタガタで復旧困難と判断。やはり fdisk 乙。

 クリーンインストール5回目。マヌケな私も今回こそは慎重に作業。
バックアップしたドライブを接続する前にレジストリと妙なファイルがないかを確認し、スレーブを接続。再起動しろとの催促を無視して、レジストリとファイルを確認。アッーーーーー!
C:\ah.exe
C:\WINNT\system32\config\svchost.exe
レジストリにも異変が。↓
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 値:「anhao」 C:\WINNT\system32\config\svchost.exe
C:\ah.exe は削除。svchost.exe は実行中で削除不可。取りあえずレジストリの「anhao」を削除してから再起動。
 有効になったドライブのルートに ah.exe と AutoRun.inf を発見。さらにさっきつぶした C:\ah.exe と、レジストリも復活していた。これは ニセsvchost.exe を何とかしないとダメらしい。
 セーフモードで再起動し、ニセsvchost.exe と、全ドライブの ah.exe と AutoRun.inf を削除。レジストリの「anhao」も削除。
通常起動し、ファイルとレジストリを確認。一応、オンラインスキャン。すべてOK。
 セカンダリスレーブのHDDを接続してみると、最初と同じ現象が発生。
なるほどそういうことか。さっきと同じ手順で復旧し、再起動後にチェック。すべてOK。

 以上のことから、私なりの対応をまとめます。

私的メモ(未確認情報)

名前 : TROJ_DELF.HLX / TROJ_HUPIGON.EXI / BKDR_HUPIGON.EVG (3種混合 w )
感染方法 : リムーバブルディスクのAutoRunから実行。普通ドライブのアイコンをダブクリするだろ?
症状 : バックドアを作成。勝手に適当なサイトをIEで開く。キーロガー。その他。
診断方法 : レジストリ(regedit)のキーをチェック。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値、"anhao C:\WINNT\system32\config\svchost.exe" があるか。
ファイル "C:\WINNT\system32\config\svchost.exe"、"ドライブのルートに妙な .exe と、AutoRun.inf " があるか。
駆除方法 : 私の手には負えず。要フォーマット。感染ドライブ接続後に、以下の手順。
 恐らく1回でもレジストリの Run が動いたらまずいので、再起動前には必ず診断方法で挙げたレジストリの値を確認し、あれば削除すること。
 セーフモードで起動。"C:\WINNT\system32\config\svchost.exe" を削除。出来なければ SlightTaskManager でニセ者のプロセスを見つけて終了させてから、削除。
診断方法で挙げたレジストリの値を削除し、関連ファイルをすべて削除。

 以上の操作で除去できたと思われますが、そもそも最初の病気はどこからもらったんだろうか。
怪しいファイルは特にいじってないんだがなぁ。PCが変な動作をしたこともないし。
最初の方にも書きましたが、マウスカーソルのアニメーションに何か脆弱性があって、緊急のアップデートだかの情報もありました。
まさかとは思いますが、セキュリティホールが発端でダウンローダーが実行され、次々とつまらんもんが入ってきたのかも。
いずれにしても、バックアップしたドライブにオートランからアウチッ!ってのはまいりました。

≪ BackHome ≫