- 感染の症状(なぜ気付いたか)
- ノートンのスキャンで駆除
- トロイの木馬って出た時の恥ずかしさが予想以上で
- 感染した原因を考える
- 被害状況が全くわからない気持ち悪さ
- 今後の対策
- Windows10にしてれば良かったの?
- 参考までに、発見された木馬たちです
感染の症状(なぜ気付いたか)
いつものようにパソコンで仕事をしていて、ブラウザ(その時のはFirefox)を開いてヤフーの画面が出たと思ったら数秒でアクセスできません的な画面が表示され、おかしいなとリロードしてみたらまたすぐ同じ画面が表示され、よくよく読んでみたらあなたのパソコンからとんでもない回数のアクセスがありました。おかしいですよウイルスに感染してたりしませんか?というようなことが書いてありました。
ガクブルしながら、まずは通信を遮断しようとしますが、タスクバーの右側にあるインターネットアクセスのアイコンをポチッとしても、なんか挙動がおかしく(ブルブルしている感じ)開くことができません。ちなみにノートパソコンに無線LAN。有線だったらケーブルを抜けばいいんだろうけど、私が使ってるパソコンには無線LANをオンオフするスイッチもないやつで。。
今思えばルーターまで走ってって電源落としてやればよかったのかなとか思いますが、別な部屋にあるのでその時は思いつきませんでした。
次に、セキュリティソフト(ノートン360)によるスキャンをしようとしましたが、ノートンの窓を開こうとすると同じウインドウが次から次へと、、
あっという間にタスクバーにノートンのアイコンが10個くらい表示されたところで、勝手にシャットダウンされました。
Windowsの更新があったのですが、それらはちゃんと更新されてから電源が落ちるという、行儀良い感じの普通のシャットダウンです。
おかしいぞ!って気付いてからシャットダウンがはじまるまで、10秒くらい、、いや20秒。もしかすると30秒くらいあったのかもしれませんが、とにかくあっという間な感じでした。
ノートンのスキャンで駆除
とりあえず通信を遮断し、これって電源入るんだろうか、ちゃんと動くんだろうかとドキドキしながら電源を押す。普通に起動。普通です。挙動も普通。
まずはノートンでスキャンだと、「システムの完全スキャン(コンピューター全体を調べます)」これを選択し、実行。しかーしインターネットにつながってないと簡易的なスキャンしかできないよ!と言われ、渋々接続。また挙動がおかしくなったらすぐに切断してやろうと身構えて様子を見るも、何事もないままスキャン終了。
いつスキャンしても出てくるような危険度の低いCookieとかを除いて、やばそうなのが全部で52個検出され、結果が出た時点では全て検疫・解決済みとなっていました。
続けてノートンパワーイレイサー(見つかりづらい問題を発見します)も行いましたが、そっちではなにも出てきませんでした。
トロイの木馬って出た時の恥ずかしさが予想以上で
スキャンの結果から発見されたリスクの詳細を見てみると、どれもこれもトロイの木馬と書かれていました。
トロイの木馬って、気をつけてればほとんど感染しないよね?
迷惑メールの添付ファイル開けちゃったとか、怪しいサイト見たとか、それだめでしょってものダウンロードしたとか、ちょっとマ○ケな感じのやつが多いよね?
そんな風に思っていた私にとって(そんなのばっかりではないんでしょうけど)、トロイの木馬に感染したというこの事実は、実に恥ずかしく、納得もできず、認めたくないことでしたが、二次災害を避けるためにはそんなことも言ってられないので、社長へ連絡。
お専務「やっぱこれって、はずかしい?」
社長「ちょっとはずかしいね」
(*ノωノ)
気をつけてたんだけどな。嗅ぎ分けてるつもりだったんだけどな。
その後感染したパソコンは初期化しました。
感染した原因を考える
全部で52個検出されたトロイの木馬がどこにあったのかノートンの履歴から調べてみると、メールソフト(サンダーバード)のフォルダ内に26個ありました。
つい最近サンダーバードのバックアップを取ったばかりだったので、そっちからも全く同じものが検出され、26個×2=全部で52個 という内訳。なので自分で倍にしただけなので、全部で26個だったことにして考えていきます。
11月7日に取ったバックアップもスキャンしてみたらそちらからは検出されなかったので、感染したのはそれ以降と思われます。
トロイの木馬が見つかった場所
c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\junk
ここに1個。
c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\trash
ここに25個。
***にしてるところは内緒のところ。真ん中のは変えなくてもよかったような気もする。
ちなみにメールアカウントは結構いっぱいある方で、追加も削除も結構多いのですが、アカウントを削除してもmailのフォルダ内には削除したアカウントのフォルダが残るようで、全部で30個くらいある中の一番最後のフォルダ内にヤツはいました。
もう使ってないアカウントの、迷惑メールのところに1個、ゴミ箱に25個。ってことかな?
先月取った同じ場所のバックアップにはなかったんだから、ずっと前からここに潜んでたって可能性はなさそう。最近入ってきて、たまたまここに転がり込んできたんだろうか。
思い当たる節その1 Word
W97M.Downloader は、Word マクロ型のトロイの木馬で、追加のマルウェアをダウンロードします。
この種類が1匹いました。
弊社にはワードで作った資料をたくさん送ってくるお客様がおりまして、数十人いるご担当者がそれぞれ作っておりまして、お年を召された方が多く、パソコン難しくて。。と言いながらもがんばって作って送っていただいてるのですが・・・
ありえるね。ということで、そこから来た資料を保存しているドロップボックス(数名で共有しています)の中身を社長にノートンでスキャンしてもらったのですが、検出されず。
ないな。疑ってごめんなさい。
その時はそう思ったのですが、そうでもないことに今気付きました。
送られてきた資料は全て私が窓口になって確認し、必要なものだけDropboxに保存するのですが、「ワードの資料送ります」というメッセージとともに、拡張子がついてない謎のファイルが添付されてくることもたまにあって、ワードっていうんだからワードなんだろうと、.docってこっちでつけてみて、はいビンゴ~!って心の中で思いながら資料整理することもあれば、中にはなんだかよくわからない謎なものもちょいちょいあって、そういうのはそのまま削除してしまうのでドロップボックスには行きません。
今後は開く前に全てスキャンするようにしよう。
思い当たる節その2 ブラウザで危険な動画
友人がチャットに無言でURLを貼っていって、またなにか気になるものでも見つけたのかなと思い見てみたら、そこは動画サイトでした。
見たことがない、ちょっと怪しい、でもアダルトな感じでもない。
やっぱ怪しい。。って思いつつも、おかしなもの送ってくるような人じゃないだろうと、再生ボタンをポチっとしたところでノートン作動!ノートン作動!ノートン作動!
たしか3回くらい小窓が出たんだけど、全部「脅威を発見しました!でも安心してください。解決済みですよ!」みたいな内容。こんなのはじめて見ました。
出かける寸前だったのでとりあえずブラウザ閉じて、「なんか変なの出たけどあれなに!」と友人に電話を。
ローラでもベッキーでもない、CMにいっぱい出てる某ハーフタレントが、有名になる前に映画だかドラマだかで下着姿?を披露してるシーンがどうのこうの。。
しょうもない(´Д`)
モデル体型とか興味ないっていつも言ってるだろ!
まあそんなことはどうでもいいとして、解決済みって言われたから大丈夫なもんだって思ってたけど、もしこれが原因ならあの時すぐノートンのシステムスキャンしてたらもしかしたらすぐ発見されたのかもしれないと思うと、悔やまれます。
被害状況が全くわからない気持ち悪さ
パソコンがおかしな挙動をした。
ウイルススキャンしてみたら、トロイの木馬が複数検出された。
こちらでわかっているのはそれだけです。
被害があったかもしれないし、なかった可能性もある。
トロイの木馬といってもいろいろなタイプがあるようで、危険度もそれぞれ。
発見されたやつの情報を全てチェックしましたが、追加のマルウエアをダウンロードします。というもの以外はどういう動作をするかは作った人次第なようで、詳細は不明。
こいつはブラウザに保存されているパスワードを読み取るやつです!とか、なにをされたかわかってれば事後の対処が楽なんですけどね。
わからないので、最悪の事態を想定して、何もかも抜かれた想定で対処しましたが、自分のことだけならまだしも会社で共有してるものなんかは本当に大変で。。
パソコンリカバリして仕事できるように各種設定なんてのもめんどくさいっちゃめんどくさいんだけど、最近物理的な故障によるトラブルも結構多くて、慣れてしまったというか、そうなっても困らない準備ができてるというか、そんなに苦にはなりません。
今後の対策
定期的にノートンのシステムスキャンをする設定にはなっているけど、なんかちょっとでも不安なことがあればすぐに手動でスキャンする。
悪意はないであろう相手から送られてきたものでも、もしかしてと思った添付ファイルはスキャンしてから開く。URLも確認してから開く。
どれだけ対策しても気をつけていても、100%はありえないので常に最悪な状況も想定し、機密情報には複雑なパスワードを設定して保存する。
Windows10にしてれば良かったの?
今回検出されたマルウエア(トロイの木馬)の詳細情報(シマンテックのセキュリティレスポンスというページ)を見ていて思ったのですが、「影響を受けるシステム」という項目があって、Windows7で影響を受けるものは26個中23個。
Windows8で影響を受けるものは26個中たったの2個。
Windows10だと26個中0個。影響を受けないってこと?
いずれ新しいOSでも影響を受けるマルウエアがきっと増えてくるんだろうけど、現時点で、私が今回感染したものに関しては、OSがウィンドウズ10だったらノーダメージだったかもしれないということなのかな。
無料なんだし、アップグレードしちゃいなYO!って思いつつも、使ってる会計ソフトのバージョンが古く、ウィンドウズ8以降では動かないの確定のようなので、そっちの入れ替えの目処が立つまではおあずけです。
参考までに、発見された木馬たちです
Trojan.Zbot 危険度2: 低
adp-invoice.scr
[場所]adp-invoice.zip
[場所]unknown00005a11.data
[場所]c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\junk
std6.scr
[場所]std6.zip
[場所]unknown000a3bc0.data
[場所]c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\trash
santander_bill_payment.pdf.exe
[場所]santander_bill_payment.zip
[場所]unknown000be1ac.data
[場所]c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\trash
std6.scr
[場所]std6.zip
[場所]unknown000aac32.data
[場所]c\users\***\appdata\roaming\thunderbird\profiles\***.default\mail\***\trash
case_3619417.scr
[場所]case_7037087.zip
[場所]unknown000e14f4.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
hmrc.gov.uk.pdf.exe
[場所]hmrc.gov.uk.pdf.zip
[場所]unknown000ba4e6.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
std6.scr
[場所]std6.zip
[場所]unknown000a02f4.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
important_documents.scr
[場所]important_documents.zip
[場所]unknown000a7493.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Trojan.Cryptodefense 危険度1: ほとんど影響なし
homicide-case#3254_pdf.exe
[場所]homicide-case#3254_pdf.zip
[場所]unknown00143b45.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
ref_4343324.exe
[場所]ref_2358899.zip
[場所]unknown0014b757.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
invoice_275419748.exe
[場所]invoice_275419748.zip
[場所]unknown0014772e.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
ato_tax_419771083.pdf.scr
[場所]ato_tax_419771083.zip
[場所]unknown000d34df.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Downloader.Upatre 危険度1: ほとんど影響なし
attachment.exe
[場所]attachment3888979.zip
[場所]unknown002c1f00.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
sage_invoice_227134_10932449.scr
[場所]sage_invoice_227134_10932449.zip
[場所]unknown0017dff5.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
attachment.exe
[場所]attachment3491779.zip
[場所]unknown002c75f2.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Trojan.Smoaler 危険度1: ほとんど影響なし
invoice_285699241.exe
[場所]invoice_285699241.zip
[場所]unknown000d769a.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Infostealer.Dyre 危険度1: ほとんど影響なし
sage_invoice_543534_10032014.exe
[場所]sage_invoice_543534_10032014.zip
[場所]unknown000b6b89.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Trojan.Mdropper 危険度1: ほとんど影響なし
ak843087sy.doc
[場所]unknown001292a0.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Trojan.Gen.SMH 危険度1: ほとんど影響なし
message_zdm.exe
[場所]message_zdm.zip
[場所]unknown001a3ac8.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
invoice384267621346.exe
[場所]invoice384267621346.zip
[場所]unknown0019fcb9.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
fax.exe
[場所]fax_7430268.zip
[場所]unknown002bd33e.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
W97M.Downloader 危険度1: ほとんど影響なし
ia058932.doc
[場所]unknown001574c2.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
Trojan.Gen 危険度1: ほとんど影響なし
q100771292\mail out report.exe
[場所]q110421560_mail out report.zip
[場所]unknown0014f604.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
JS.Downloader 危険度1: ほとんど影響なし
invoice_p6zwgh.js
[場所]invoice_25442428_scan.zip
[場所]unknown0024c660.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
invoice_wm3prs.js
[場所]invoice_82480580_scan.zip
[場所]unknown00247b0e.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
invoice_tqptct.js
[場所]invoice_06947283_scan.zip
[場所]unknown00242c71.data
[場所]c\users\****\appdata\roaming\thunderbird\profiles\*****.default\mail\******\trash
コメント