請求画面の情報を送ってもらうとともに、決して電話、メール、ウェブページなどのアクセスを行わないようにと指示する。 請求画面の情報でウェブ検索すると、被害相談窓口をうたった便乗サイトがゾロゾロとヒット。これらにもアクセスしないよう指示する。
数年前の手口なら、レジストリとタスクスケジューラからmshta.exeを起動するエントリを削除するだけだったから数分で済んだのだけど、もっと巧妙になっているだろうから、対処には数日かかるかも知れない、とことわった上で被害を受けたPCを預かることにした。
無線LANを止めてネットワークから切り離した状態でPCを起動、しばらくすると…
タスクマネージャーにはmshta.exeのプロセス…
ネットワークを切っていても「正しく」請求画面が表示されるので、PCのどこかにこの画面の元ファイルがあるはずだが、怪しい*.htaや*.vbsも見つからない
MSIEのウェブ参照履歴から感染源を探そうとしたが、感染前の履歴はすべて抹消されていた。行き詰まってしまった…
しかたなくタスクマネージャーでじっとプロセスの変化を見ていたら、PING.EXEのプロセスがずっと起動しっぱなしであることに気付いた。コマンドプロンプト以外のcmd.exeのプロセスもいる。
試しにmshta.exeとcmd.exeをkillしても、請求画面が再表示されるとcmd.exeもrespawnされる。
バッチファイルが仕込まれている!? 早速*.batを探すと、
ビンゴ!隠しフォルダProgramDataのmyconフォルダ中に"resta.bat"を見つけた。
PING.EXEを使って断続的にmshta.exeプロセスを探し、いなければ請求画面表示用のバッチファイルを起動する仕組みだった。請求画面表示用のバッチファイルやHTMLファイルも初歩的だが効果的に偽装されていた。
myconフォルダをゴミ箱に入れて再起動する。
あとは"mycon"をキーにレジストリを検索、ゴミ掃除をすれば作業は完了。
2015.5.27追記
このアーティクルを投稿してからページビューが数倍に増えた。
使用ブラウザの大半はバッチファイルが動くWindows専用インターネットエクスプローラー(MSIE)だったし…
自分のPCが知らないうちにボットになってて、迷惑メールの発信源やDoS攻撃に参加しているかもって、考えたこともないのだろう。
ハッキリ言わせて貰えば、痛い目みて凝りたのなら、この機会にセキュリティについて真面目にたっぷりと考えるべきだ。
同様の現象で困り果てていました。
返信削除無事解決できました。
本当にありがとうございました。
解決できました!ありがとうございます!!
返信削除