Trojan Horse - siszyd32.exe(仮称)の駆除方法。

っとゆ〜わけで、新年早々、VAIO type PのWindows Vista Home Basicがウイルスに感染しました。祝☆初ウイルス感染。または感染初め。(ぉぃ

ウイルスの種類はどうやらここに載っているものと同じらしい。ただし、「アニたまどっとコム」を閲覧したわけではなく、閲覧したのは、「CyberX Blog」(現在閉鎖中(たぶん))。 本日17:15現在、まだこのサイトには件のJavaScriptコードが残っているため、関連する脆弱性のある環境で閲覧すると、感染の恐れがあるため注意が必要。
自分の場合、WindowsUpdate & VAIO Updateは最新の状態で、閲覧に使った、Firefoxも最新だった。が、日頃使っていない、JRE(JDK)とAdobe Readerが古かった模様。古いのは分かっていたが、使わないからいいや、程度にしか思っていなかった。
サイトを見て、なんで閉鎖中なんだろう? と思ったときには時既に遅く(おそらく閉鎖の理由はサイトが攻撃されたせい)、Javaアプレットが起動したときと同じように、システムトレイにJavaの、あのいまいましい(うそ)アイコンの姿があった。ほどなく、Adobe ReaderのUpdateが立ち上がり、単にAdobe Readerの最新版がリリースされたのかな? と思ったときには、すでに感染していたハズ。Adobe Readerの最新版ダウンロード(インストール?)には失敗し、得たいの知れないプロセスがネット接続しようとしてるのを、「V3ウイルスブロック2009 20th Anniversary(長い)」が検知して、プロセス名でぐぐりつつ、とりあえずブロック。そのときはまだウイルスに感染したとは思ってなかったのだけど、その後、OSを再起動したらやたらとCPU負荷が高い。何もしていないのにコア(Atomなので正確にはHyperThreadingだけど)が1個ほぼ100%状態で、トータルで常に50%程度の負荷がある。負荷の高いプロセスは、「svchost.exe」だったため、いつものことかと思って放置したのだが、10分経っても20分経っても状況は変わらず、もう一度再起動しても状況は同じ。いよいよこれはおかしいと思って、

↑このページを発見して、ああ、感染したのね〜っと気付いた次第。とりあえず、挙動のおかしな「svchost.exe」を落とせば、CPU負荷の高い状態は解消されるのだけど、それでは本質的な解決にはなっていないので、このページを見ながらウイルスの駆除を始めることにした。
おっと、その前に愛用の「V3ウイルスブロック2009 20th Anniversary(長い)」を最新版にして(というか感染時点で最新だったんだけど)、全ファイルスキャンをしたところ、ウイルスは発見されず。残念ながら、まだパターンファイルが対応してないっぽい(Engine Version: 2010.01.03.00)。
次に「システム構成(msconfig)」のスタートアップタブで、勝手に登録された「siszyd32.exe」をOFFにしようとするのだけど、何度クリックしてもOFFにならない。いや、クリックすればOFFにはなるのだけど、「適用」ボタンを押したとたん、またONに戻るのだった。
そこで、上記の記事にある通り、レジストリエディタで


HKEY_CURRENT_USER¥Software¥MicrosoftWindows¥CurrentVersion¥Explorer¥Advanced
を確認すると、"Hidden"が1だったのに対して、"ShowSuperHidden"が0だったので、とりあえず1にしてみるテスト。ちなみに、

HKEY_LOCAL_MACHINE¥SOFTWARE¥MicrosoftWindows¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL
の、"CheckedValue"は最初から1でした。まあ、この辺は単にエクスプローラーの設定の違いかな、という気もする。以上を試すも、結局、問題のウイルスファイル本体(siszyd32.exe)は見えないまま。ただし、ウイルスが存在するとおぼしき、パスで同じファイル名(siszyd32.exe)のフォルダを作ろうとすると、「指定されたファイル名は既に存在します。別の名前を指定してください」というエラーメッセージが出るので、ファイルは間違いなく存在する模様。次にやはり上記の記事に従って、レジストリエディタで

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
の全てをチェックするも、問題の「siszyd32.exe」はどこにも登録されていない。それどころか、「siszyd32.exe」や「siszyd32」でレジストリ全体を検索しても全くヒットしない。
そんなわけでとりあえず手詰まりになったので、試しにセーフモード(起動時にF8)で起動したところ、ようやく該当するパスに「siszyd32.exe」を発見したのでゴミ箱に捨てる。その後、「システム構成(msconfig)」のスタートアップタブを見ると、「siszyd32.exe」が行ごと無くなっているのを確認して再起動。以上で、駆除完了(たぶん)。とりあえず、異常なCPU負荷の上昇は起きなくなりました。
しかし、「V3ウイルスブロック2009 20th Anniversary(長い)」のパターンファイルが未対応のままだとまた感染したときに困る(ぉぃ、ので、今回のウイルスファイル本体である、「siszyd32.exe」をZIPで固めて、参考になりそうなURLといっしょにメーカーのアンラボに送りつけて「対応してね(はーと)」と言って作業終了。
さて、以上の記事を参考に、ウイルスの駆除作業をされる場合は、くれぐれも自己責任でお願いします。PCに詳しくない方は、今回のウイルスに対応済みのアンチウイルスソフトを使うか、パターンファイルが対応するのを待つのがお薦めです。当方は一切の責任を負えません。


あ。そうそう。

アンラボのサポートページのお問い合わせフォームなんだけど。Mac OS XFirefox, Safari, ChromeのいずれのWebブラウザも「登録」ボタンが押せないのは勘弁してください。>アンラボさん
結局、1行の入力フォームのとこでリターンキーを押して送信しました(汗)。



某氏より感染記念画像をもらっていたので、せっかくなので貼り付けてみるテスト。まあ、著作権的にはアレなんですけど(汗)。
(19:27、追記)


わーい。「V3ウイルスブロック2009 20th Anniversary(長い)」が「Engine Version: 2010.01.05.00」で今回のウイルスにさっそく対応したよ〜
アンラボでの名前は、

Win-Trojan/Downloader.28672.SS
になりました。名前が付いて良かったねッッ!!(ぉぃ
実際に「siszyd32.exe」をZIPで圧縮したファイルをスキャンすると、ちゃんと検出してくれます。

しかし、アンラボの公式サイトでウイルスの対応リストが発表される(手動でダウンロードした場合にも表示される)たびに、本当にこれ全部対応してるの? とか思ってたんだけど、ちゃんと対応してるんですなあ。偉い偉い。
特に今回、アンラボがエライと思うのは、本来は1/5まで正月休みなのに(メールで事前に告知があった)、1/4のうちにメールの返信が来て対応してくれた件。その上、実際に次のバージョンのエンジンに組み込んでくれるのも、かなり偉いと言えよう。正月休み返上でありがとうございました。今回偉くなかったのは、メールフォームの作りがよくない(Macのブラウザではサブミット出来ない)点だけだ。(ぉぃ
そんなわけで、また同じウイルスに感染してももう平気!!



...ウソです。JREAdobe Readerはアップデートしました。
しかし、最近、サポート関連ではゲンナリすることが多かっただけに、今回のアンラボの対応は非常に満足っす。


あ。そうそう。「V3ウイルスブロック2009 20th Anniversary(長い)」は過去の製品だけど、最新版の「AhnLab V3 365 Clinic ウイルスブロック」でも、今回のウイルスには対応しているハズ。アンラボが偉かったのでちょっと宣伝。(笑

(1/5、8:58追記)