このページについて

10月5日、22時50分頃にメインPCがウイルスを食らいました。ゼロデイ食らったら防御不能ですね・・・。ある程度の知識があっても無理です。

 プライバシーポリシー / 免責事項

10月5日、22時50分頃にメインPCがウイルスを食らいました。
数年前からわりと良くある、偽のPC修復ツール系のウイルスです。

ウイルス
▲クリックで拡大
 ・画面が真っ黒になり
 ・大量のシステムエラーメッセージが表示され
 ・[Repair]なる偽の修復ツールが起動し
 ・さらにHDDやスタートメニューがロックされ

完全にPCが使えない状況になりました。「PCを修復したいなら、オンラインで登録してね」という定番(?)のウイルス&詐欺ツールです。
なんとか復旧できましたが、10月6~8日の3連休はこいつの対処で潰れました(^_^;

具体的にどんなウイルスだったの?

冒頭でも書いた通り、偽のPC復旧ツールに感染しました。
以下のウイルスに非常に類似したものでした。

参考リンク(以下4点は同じウイルスの解説)
  ・TROJ_FAKEAV(ITpro)
  ・TROJ_FAKEAV(トレンドマイクロ データベース)
  ・FakeAlert-SmartRepair(マカフィー データベース)
  ・Trojan.FakeAV(シマンテック データベース)

上記ウイルスは数年前から既知となった手法です。しかし Packed.Genericなどの隠蔽ツールでセキュリティソフトで検知できない様に細工し、JAVAやFlashの脆弱性を突いてPC内に侵入してきます。
ウイルス対策ソフトを最新の状態にしているだけじゃ防御不能です。

ちなみに復旧方法やチェック項目は、上記トレンドマイクロリンクで半分くらいが当てはまりました。しかし僅か2ヶ月の間に色々進化してて、残り半分は当てはまりません。
ちなみに上記データベースでは「ダメージ度 中」って書いてあるけど 結構凶悪です。PC上級者じゃないと対処は無理です。(99%データは復旧できたけど、途中かなり絶望感が漂いました。)

 

本日から数回に分けて、ウイルス感染の体験記を書きます。

書きたい事が一杯あり、1ページで紹介するの無理です。
このページでは、まずはウイルスを食らって分かった事や、PC がどんな状態に陥ったか・・・を簡潔に書いています。「どんな対処をしたか?」などは明日以降の更新で。

サイト内関連ページ
メインPCがウイルスに感染
 1・・・こんな風になりました (このページ)
 2・・・感染直後からのPCの状況を時系列で紹介
 3・・・TROJ FAKEAV系に感染した場合の対処方法
 4・・・(追記)しばらく経ってから発見したチェックポイントなど
 5・・・【反省会】ウイルス感染を未然に防ぐ方法の考察
 6・・・偽ツール系のウイルスはアフィリエイトだった・・・('Α`)
 7・・・ウイルスの仕組みを理解してみる(やや雑文)
 8・・・重要: Windowsがウイルス感染した後の手動&目視チェック項目まとめ

まえおきおわり。以下、このページの本文です。

スポンサー リンク

感染するとどうなるの?

こんな感じになりました。。。
感染中のデスクトップ(ページ冒頭でも紹介した画像)
ウイルス
▲クリックで拡大
デスクトップが真っ黒&システムエラーの嵐。

画像から伝わらない危機は以下
  • タスクマネージャーを起動不能にされちゃってて、偽ツールの終了が出来ません。
  • Windows管理メニューも全て起動できなくなってます。
  • エクスプローラーを開くと、ファイルが1個も表示されません。
  • ウイルス対策ソフトは見かけ上は正常に作動していますが、機能していません。
  • ファイアウォールも、一部のルールが破棄された状態。
    ファイアウォール
    ▲クリックで拡大: CCleanerでファイアウォールのルール破棄が確認できた。
    外部から簡単に侵入可能。

・・・大変危険な状態です。。。

ウイルス感染後にPC再起動は注意

迂闊でした。感染後にPCを再起動すると、更に細工を施され、状況は悪化しました。

 ・OSブート出来なくなったり
 ・デスクトップアイコンやスタートボタン内のリンクが全て削除されたり
 ・PC上からHDDが丸ごと見えなくなったり
 ・ファイルの整合性を破壊されたり
 ・セキュリティソフトやファイアウォールを完全に無効にしたり
 ・復元ポイントを全部消去されたり

・・・色々症状が悪化します。
ちなみに再起動後は表示される偽の修復ツールが「Repair」から「S.M.A.R.T HDD」に変化し、「今すぐHDDの修復が必要です。レジストして下さい」的なメッセージが表示されました。

何が原因だったのか?ドコから侵入されたのか?

  • JAVAの脆弱性を突かれました。
    最後のアップデート(8/30)以降、何件も脆弱性レポートが上がっていたのに見逃していました。
  • ウイルスを作っている人は 隠蔽ツール(シマンテックデータベース)使って、常にウイルスが対策ソフトで検知出来ないように細工をしています。
    ウイルス対策ソフトだけじゃセキュリティ不十分です。

最近のウイルスは、その多くが検知不能なゼロデイ。最新のパターンを持ち、感染当日は愛用しているAviraをはじめ、複数のセキュリティツールを試したものの全く検知されず。
翌日になり、ようやく複数のソフトで検知・駆除できるようになりました。

今まで「こういう詐欺ツールに引っかかる奴はバカじゃね?」とか思っていましたがとんでもない。ゼロデイ食らったら防御不能です。

ささやかな対処方法

Flashは10月8日に脆弱性修正済みの最新版がリリースされています。アップデートしておきましょう。
JAVAは・・・使わない人はアンインストールしておきましょう('Α`)

あとがき

問題は「詐欺ツールと見破れるか?」じゃないですわ。アプリに脆弱性があると侵入を防ぐの不可能です。強制的に実行されます。ウイルスは各種セキュリティーソフトで検知されない状態でバラ撒かれています。

怪しいURLやメールを開かないようにしていても、こいつらはJAVAやFlashの脆弱性を突いて侵入してきます。普通のブラウジングしてても感染します。
ある程度の知識があっても侵入防ぐの無理です。。。

 

それから、10月6~8日にかけて遠隔操作でPC乗っ取られた事件の報道が相次ぎましたねえ。
今回の自分の惨状もあり、「それなりにPCセキュリティに気を付けていても、これは感染しちゃうよねえ・・・そしてPC乗っ取られても気が付かない場合もあるよねえ・・・」と痛感&同情しました。

先の3連休は、すべてPC復旧に費やす破目になりました。その間、件のニュースを眺めつつ、食らった攻撃が詐欺ソフト程度で良かった・・・としみじみ実感。
脆弱性突かれてPCに侵入されたら、後はやりたい放題やられちゃいます。

PCのセキュリティを常に万全の状態にしておくってのは、意外と難しいですなあ。。。
現在、この続き・その詳細を鋭意執筆中。

サイト内関連ページ

メインPCがウイルスに感染
 1・・・こんな風になりました (このページ)
 2・・・感染直後からのPCの状況を時系列で紹介
 3・・・TROJ FAKEAV系に感染した場合の対処方法
 4・・・(追記)しばらく経ってから発見したチェックポイントなど
 5・・・【反省会】ウイルス感染を未然に防ぐ方法の考察
 6・・・偽ツール系のウイルスはアフィリエイトだった・・・('Α`)
 7・・・ウイルスの仕組みを理解してみる(やや雑文)
 8・・・重要: Windowsがウイルス感染した後の手動&目視チェック項目まとめ