2003年11月30日に、このサイトの掲示板で初めてWinNTのサービスを使ったスパイウェアが発見されました。このサービスは、当時はHijackThisのログには現れず、「Running processes」をチェックすることで発見するしかなかったのですが、解明されたあとでもちょくちょく見落としをしてしまう嫌らしいものでした。
このスパイウェアの出現をきっかけにHijackThisがアップデートされ、O23として検出できる様になりました。
HijackThisのログには、O23として現れます
ここに現れる不正エントリのファイル名とパス(この場合は「C:\TEMP\DS\DS.exe」)は何かにメモしておいて下さい。
まずHijackThisから当該O23エントリをFixしてPCを再起動し、サービスを停止します。
次に、この不正ファイル本体を削除します。この場合は「C:\TEMP\DS」をフォルダごと削除です。
見つからない場合は初心者ツールを使って下さい
念のため、削除したファイルまたはフォルダはしばらくごみ箱に残して置いて下さい。
最後に、改ざんされたレジストリの修正を行います。
HijackThisでO23エントリをFixしたとしても、サービスが停止されてスタートアップが「無効」に設定されるだけで、実行ファイル本体やサービスのレジストリ設定の削除は一切行われません。すでに本体の「C:\TEMP\DS」は削除してますので、後はサービス「 Rpt Service」を削除します。
サービスの削除には、有限会社 軟式さんに作成していただいたSDELISTを用います
上のページの中のサービスの削除と復元を参考に、「Rpt Service」を選択して削除します。これで作業終了です。
ここからは「参考まで」です。興味のある方、回答者の方向けの内容になります。
C:\TEMP\DSの中には、二つのファイルが存在しました。一つは「DS.CONF」、もう一つは「DS.EXE」です。DS.CONFの中身は、
です。ここに「www.click-monkey.com/movie」と「SexVideo」が定義されています。一方、DS.EXEの方をDOSから実行すると、
となったそうです。DS.exeがスケジューラの様な役割をして、DS.confを参照しながら動くと推測されますの。ですので、このDS.confの内容を変えることで様々な動作を行う変種が出てくる可能性があります。もちろん、exeファイルについても違うファイル名のものが出てくることも十分考えられます。
改変されるレジストリについての情報を得るには、前に出てきた「サービス名」がキーになります。ログに出てくる「表示名」ではなく、プロパティで確認できる「サービス名」であることに注意して下さい。上記の例ではどちらも同じ「RptService」ですから問題ありませんが。この「サービス名」をキーとしてレジストリを検索することで、下記三ヶ所のエントリが追加されていることが解りました。
この三ヶ所のうち、次の二ヶ所にSub keyが作られていました
このスパイウェアの対処方法に関しては、最初に発見した素人さん(現・助次さん)、それを掘り下げて問題を抽出・解決していったadultさんの力もさることながら、質問者であるMAYUMIさんの適切で冷静な対応も見逃せないと思います。内容が濃いので解りにくい部分もあるかもしれませんが、じっくり読めば必ず理解できます。
毎度ながらの皆様のご協力に感謝致します。
2005.9.29 全面改定
2003.11.30 ページ作成
