SSブログ

Security Shield 2012 [PC]

やられたっ!

Security Shield 2012 has been installed successfully!
[ O K ]

FireFoxでいつものようにぐぐって、ダダダッといくつかのリンクをタブに展開、めぼしいところを探す。
そんな時だった。
Webサイトの変なボタンをクリックしたわけでもなんでもない。
ただリンクを開いていただけ。

突然、ダイアログボックスが出現。
何もインストールしていたわけでもないので、明らかに変。
瞬間、「やられたっ!」そう思った。

しかしここで慌ててはいけない。
ダイアログボックスの[OK]ではなく[×]を押してみる、、、ささやかな抵抗だ。(笑)
突然、ウィルススキャンが始まる。
5827758201_398907f16f.jpg
※画像元 http://www.flickr.com/photos/42750870@N05/5827758201/sizes/l/in/photostream/ 無断転載m(_ _)m
この状態ではこの偽ウィルススキャンは止められないし、画面の一番上からは絶対にどいてくれない。
残った画面の隅で作業するしかない。(解像度の低いPCならOUTだろう。)

先ず動作しているこのプロセスを強制終了させなくては。
Windowsのタスクマネージャでは心もとないので、昔からsysinternals process explorerを常駐させている。
ざっと見ていくとSecurity Shield 2012のアイコンで「ioyqrjejp.exe」というものが動いている。
これだとばかりに居場所を確認と即刻強制停止。
画面から邪魔者が消えた。

実行ファイルの居場所( C:\Users\金星人009号\AppData\Local )から削除前にウィルススキャンしてみるがウィルス判定はしてくれなかった。
とっとと削除。
他にも居ないかシステム内部の全検索。
その間に「ioyqrjejp.exe」をぐぐるがやはり毎回ランダム生成のようで結果ゼロ。
「Security Shield 2012」をぐぐるがどうも「2011」の方が多いみたいだ。
そちらを参照。
なにやらウィルス対策アプリを無効化したり、インターネット接続を使えなくしたりと厄介なことが書いてある。

自動起動に関連するレジストリの検索、他にレジストリの変更がないかチェック。
hostsファイルのチェック。
どうやらまだそこまで侵食されていなかったようだ。

やれることをすべてやって、ちょっとドキドキしながら再起動。
これで「Security Shield 2012」がまた現れたら負け決定。

無事再起動しましたとさ。
念のため「Security Shield 2011」で出てきたサイトを参考に「RogueKiller.exe」と「a2HiJackFree.exe」を使ってみる。
「RogueKiller.exe」はレジストリチェックで落ちるが、どうやらアプリ側の不具合っぽい。
※これが「Security Shield 2012」の仕業だったら凄く怖いが。
「a2HiJackFree.exe」はなかなか面白いツールだ。
「sysinternals process explorer」より情報が詳細で、システムで行われている怪しい行動を見るには良いかもしれない。
exeのLoaded moduleやなんかもでるし、killやdeleteもできる。
アプリが開いてるPortsの確認、Autorun設定やタスクスケジュールの確認、サービス、hostsファイル、Explorerアドオン、ActiveXなどなど多岐にわたる。
まぁ、いろいろチェックした結果、異常は見られないので当分様子見。

長いことインターネットやってるけど、ドライブ バイ ダウンロード攻撃にあったのはこれで2回目だ。
もう10年以上前だと思うが、あの時は壁紙をいきなり警告画面に変えられてしまった。
そしてダイアログ。
何度exeを削除してもどこからかコピーを持ってくる真の黒幕がわからなかった。
フリーのいくつかのウィルススキャンアプリを試すもダメで、「AVIRA」のフリー版だけが発見してくれた。
それ以来長く使い続けた覚えがある。
ただ、その赤い傘はどうも、、、某ゲームのアンブレラ社を思い起こさせるんだが。(笑)

今はウィルス対策だけではだめで、どちらかというとファイアウォールやアプリの状態監視が必要な時代。
有料大手モノは標的が対策してくる可能性が高いので余り信頼していない。
ちょっと捻くれてCOMODO Internet Securityなんてものを使っているがなかなか便利。
レジストリの書換えなんかも全て報告してくるので面倒ではあるが、逆にそんなタイミングでレジストリを操作しているのかと判って勉強になる。

Updateはちゃんとしている方だが、それでも全ての部品が最新バージョンであるとは限らない。
そんな瞬間に偶々ドライブ・バイ・ダウンロード攻撃を受けないとも限らないし、実はいつもはそのUpdateで知らず知らずの内に助かっているのかもしれない。

ほら君の後ろにも。。。

きゃー!(笑)



nice!(0)  コメント(0)  トラックバック(0) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

トラックバック 0

オールリセットH342とWD20EARX ブログトップ

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。