そのスパイウェアの名は"TSPY_LINEAGE.B"
先日、価格コム経由でばらまかれたものの亜種のようだ。先日書いたとおり、顧客のネットワークではPCに"ウイルスバスター コーポレートエディション"がインストールされている。で、ウイルスバスターはちゃんと仕事をしていて、見つけるやいなや"隔離しました"と報告するのだが・・・・起動するたびに"隔離"を行っている状態。管理コンソールでは、発生が100件を超えて、アウトブレークが始動してしまっている。
単純に、レジストリーのキーを削除すればいいのかな、、と思いつつ実機を触る。 起動させると話に聞いていたとおり、"隔離しました"のダイアログ
"システムの復元"が有効になっているせいという仮説を立て、監査を無効にし、ウイルスバスターで全検索するが、ウイルスは見あたらない。
トレンドマイクロのウイルスデータベースに従い、"T1DLL.DLL"を検索すると、プログラムフォルダの、トレンドマイクロフォルダの中にいる。うーむ。
プログラムフォルダに怪しいファイルが・・"Svhost32.exe"トレンドマイクロの英語情報では(俺の語学力が)心許ないので、mcafeeの情報を元に、レジストリを見あたらない。
まあ、起動時に何か悪さをしているやつがいるのだと推定して、"Msconfig"を立ち上げる。
ビンゴ!起動時に、前述の"C:\Program Files\Svhost32.exe"を呼びにいっている。 試しにこれをオフにして再起動すると、"隔離しました"は表示されなかった。
レジストリのキーを削除し、"Svhost32.exe"も削除。 やれやれ。
日本語情報が見あたらなかったので、このウイルスについての覚え書きを以下に記す。ウイルス名:TSPY_LINEAGE.B
ウイルス本体ファイル:C\Windows\System32\T1dll.dll
ウイルスを作成するファイル:C:\ProgramFiles\Svhost32.exe
レジストリキー:HKEY_CURRENT_USER\SOFTware\Microsoft\WindowsNT\CurrentVersion\Windows
名前:Load
データ:C:\PROGRA~1\Svhost32.exe
コメント一覧
まだコメントはありません。最初のコメントを書いてみませんか?
コメントする