09/04/09 00:08:56
数回にわたる作業の末やっとましな結果が出た。
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成
で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。
bxatg.mnnの検体は可否スレに報告しておきます。
で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・
三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953