07/03/08 21:54:44 Y1e+wT2Y0
ドクロ情報その1
症状
1.Shareでダウンロードするファイル名の1文字目がドクロ(?)に変わる。
2.Shareを終了するとキャッシュが削除される。
3.Shareを起動している最中、SSが公開される。
4.SSを見るには串を通して
http://自分のIP:Shareのポート番号 にアクセス。
対策
1.ProcessExplorerでShareを表示する。
2.下ペインの表示をdllにする。
3.30以上のdllがあるが、そのうちの一つがドクロの原因となるdllである。
4.dllを一つずつgoogleで検索。(検索に引っかからないdllがウイルスである可能性大。 )
5.もしくはStirlingで該当dllを調べる。
6. 検索単語が出てきたら確定。
7.セーフモードでdllを移動する。(System32から移動すれば効力は消える)
8.もう一度Shareを起動し、ドクロが消えてるかを確認 。
感染経路となったファイル名はまだ不明です。
dll以外にもファイルが残っている可能性もありますが、それも不明。
ProcessExplorer の入手先
URLリンク(www.sysinternals.com)
英語が苦手な人は
ProcessExplorer の日本語化ファイル
URLリンク(xworks.org)
Stirlingの入手先
URLリンク(www.vector.co.jp)