顧客のPCがウイルス(スパイウェア)にやられたと言うことで、のこのこと対処に赴いてきた。

そのスパイウェアの名は"TSPY_LINEAGE.B"

先日、価格コム経由でばらまかれたものの亜種のようだ。

先日書いたとおり、顧客のネットワークではPCに"ウイルスバスター コーポレートエディション"がインストールされている。で、ウイルスバスターはちゃんと仕事をしていて、見つけるやいなや"隔離しました"と報告するのだが・・・・起動するたびに"隔離"を行っている状態。管理コンソールでは、発生が100件を超えて、アウトブレークが始動してしまっている。

単純に、レジストリーのキーを削除すればいいのかな、、と思いつつ実機を触る。 起動させると話に聞いていたとおり、"隔離しました"のダイアログ

"システムの復元"が有効になっているせいという仮説を立て、監査を無効にし、ウイルスバスターで全検索するが、ウイルスは見あたらない。

トレンドマイクロのウイルスデータベースに従い、"T1DLL.DLL"を検索すると、プログラムフォルダの、トレンドマイクロフォルダの中にいる。うーむ。

プログラムフォルダに怪しいファイルが・・"Svhost32.exe"

トレンドマイクロの英語情報では(俺の語学力が)心許ないので、mcafeeの情報を元に、レジストリを見あたらない。

まあ、起動時に何か悪さをしているやつがいるのだと推定して、"Msconfig"を立ち上げる。

ビンゴ!

起動時に、前述の"C:\Program Files\Svhost32.exe"を呼びにいっている。 試しにこれをオフにして再起動すると、"隔離しました"は表示されなかった。

レジストリのキーを削除し、"Svhost32.exe"も削除。 やれやれ。

日本語情報が見あたらなかったので、このウイルスについての覚え書きを以下に記す。

ウイルス名:TSPY_LINEAGE.B

ウイルス本体ファイル:C\Windows\System32\T1dll.dll

ウイルスを作成するファイル:C:\ProgramFiles\Svhost32.exe

レジストリキー:HKEY_CURRENT_USER\SOFTware\Microsoft\WindowsNT\CurrentVersion\Windows
名前:Load
データ:C:\PROGRA~1\Svhost32.exe