New-Year2008-imgaes.zip (Backdoor.Sdbot)
普段からウィルスには気を使っている筈なのに油断した。だって送って来た方が実行ファイルであけおめしてくれてもおかしくない方なんだもん…
そんな訳で万が一私から感染した人がいた際に備えて書いておく。それでも不完全である可能性は否定出来ない。さっさとノートン先生が検出出来るようになって欲しいものです。
★ 概要
★ 注
- 書いてある事の責任は申し訳ありませんが負えません
- ファイル名や動作等が異なる場合もあります
α) 追記 (02:10)
駆除方法は http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-051312-3628-99&tabid=3 を参照、と書きたいところだがファイル名が今ケースとは異なるので左記ページは参考程度にご覧下さい。
β) 追記 (09:30)
何箇所か msmsgrus.exe と書いてありましたが msmsgrsu.exe の誤りです。訂正してお詫び申し上げます (park さんご指摘有難う御座いました)。
i) 実行編
突然暫く話して無かった人からあけおめ zip が!等と喜んでもいられない。
New-Year2008-imgaes.zip を解凍すると画像ファイルのアイコンを模した実行ファイルが生成される (当方の場合はスクリーンセーバーでした)。実行すると同一ディレクトリに New-Year2008-imgaes.zip を生成、動作が極端に重くなるのですぐわかる。感染拡大防止のために急いでタスクマネージャから
- 実行したファイル自体
- msmsgs.exe
- msnmsgr.exe
- msmsgrsu.exe (←こいつがウィルス本体)
を殺すべき。出来れば回線を引っこ抜きたい。
ii) 修正編 (09:30 追記、komegomepipetto さん有難う御座います)
以下の作業はセーフモードでやるとなお良し。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に「MsnLiveMessenger*1」と言う名前 (値は「msmsgrsu.exe」なのですぐ分かる筈) のキーを生成するので削除する
- C:\WINDOWS\New-Year2008-imgaes.zip を削除する
- C:\WINDOWS\msmsgrsu.exe を削除する
C:\WINDOWS\msmsgrsu.exe はシステムファイル属性なので普通は見えない。コマンドプロンプトに
> CD C:\WINDOWS > ATTRIB msmsgrsu.exe A SHR C:\WINDOWS\msmsgrsu.exe > DEL /A:SHR C:\WINDOWS\msmsgrsu.exe (/A: の後は ATTRIB で出てきた2個目の文字を指定する)
と打ち込んで削除を試みる。何もメッセージが出なければ成功。「使用中」が出てる場合は Unlocker 等のソフトを使う等して強制的にロックを解除する (最も、その前にプロセスがちゃんと殺されてる事を確認すること)。レジストリを修正後、非セーフモードで再起動する方法はあまりお勧めできない。多分大丈夫だけど。
★ その他
ダメージ自体は大して無さそう (ウィルスと言うよりはトロイかもしれない)。今の所ファイルが改竄・削除されてはいないよう。但しファイルの中身がどっかに漏れている可能性は否定出来ないが。あとパソコンが重くなるかも (起動中常時かは怖くて試してません)。
でも、時限式なんて言う凝ったものだったりする可能性も否定できないような。怖い怖い。
なお、私から感染した疑いのある方はファイルが送信された大体の時刻をお知らせの上ご報告下さい*2。
★ 追記 (02:10)
検疫ファイルを Symantec にぶち込んだところ自動メールで返されてしまった。ブツは Backdoor.Sdbot との事らしい。メールに The current definitions are capable of detecting this virus. とか書いてあるのに検出してもらえなかった。ちゃんと最新定義ファイル使ったよ!