一歩一歩!振り返れば、人生はらせん階段 ippoippo51.exblog.jp

好きなリンク先を入れてください

ステロイド剤と2人3脚の全身性エリテマトーデス(SLE)患者の " 猪突猛進、横道うろうろ "人生備忘録:落ちこぼれクリスチャンが心を入れ替えて(- -;)学ぶ日々の「御言葉」と、スペイン語の勉強、SLEの病状などの日々のささやかな記録・・・というのが当初の自己紹介でしたが、今は、単に「日々生きて、夢中になった事ごとの記録」(((^^;)


by dande550213

トロイの木馬BHO.FIC と JS/Psyme


「トロイの木馬BHO.FIC」 と「 JS/Psyme」

どちらも、先週末に発見した「不正プログラム」

前者は私のPCに、そして後者は教会のPCに。


私のPCでは、AVG8.0が知らせてくれ、ウィルス隔離室に閉じ込めてくれた。
この段階で、すぐにPCスキャンしたら、次のような結果が得られた。
----------------------------------------------------------------------------------
スキャン 「全コンピュータをスキャン」は終了しました。
検出された感染:;"4"
除去または修復された感染オブジェクト:;"2"
未除去または未修復:;"2"
検出されたスパイウェア:;"0"
除去されたスパイウェア:;"0"
未除去:;"0"
警告数:;"96"
情報数:;"0"

ファイル;"感染";"結果"
C:\Program Files\IBM Homepage Builder V6.5\direct\DirectMedia\DXTXTRA.EXE;"トロイの木馬BHO.FIC";"感染"
C:\Program Files\IBM Homepage Builder V6.5\direct\DirectMedia\DXTXTRA.EXE:\dxtcr.dll;"トロイの木馬BHO.FIC";"感染"
D:\外HDバックアップ移動\2005以前\IBM Homepage Builder V6.5\direct\DirectMedia\DXTXTRA.EXE;"トロイの木馬BHO.FIC";"ウイルス隔離室へ移動"
D:\外HDバックアップ移動\2005以前\IBM Homepage Builder V6.5\direct\DirectMedia\DXTXTRA.EXE:\dxtcr.dll;"トロイの木馬BHO.FIC";"ウイルス隔離室へ移動"
---------------------------------------------------------------------------------

この結果をどう理解したらいいのか、よくわからないが、ネットで「トロイの木馬BHO.FIC」を検索したら、同じウィルス対策ソフトを使っている人から、私が発見したのと同じ8月30日に報告があったことがわかった。

私の場合は、IBM Homepage Builder V6.5\direct\DirectMediaを介して、侵入したのではないかと推測する。

発見した前日に、IBM Homepage Builder V6.5で、BGMが流れるページを作成した。
それをWEB上で確かめようとしたとき、ポップアップウィンドウがブロックした。
IBM Homepage Builder V6.5は8年ぐらい前の古いソフトで、以前にもBGMが流れるページを作り、WEBで確かめたとき、何の支障もなかったので、迷ったが、ブロックを解除した。

その日は、その2時間後に、知人宅のPCで同じ事をもう一度繰り返した。

そして翌日、自分のPCを起動してしばらくしたら、AVG8.0が「トロイの木馬BHO.FIC」に感染していると報告してきたので、スキャンしたのが、上記の結果。

そして翌々日、教会で上記の知人が私の顔を見るなり、「トロイの木馬が・・・」と心配そうな声。

すぐに駆けつけたいが、教会でも、数日前からPCがおかしな動作をしているので、調べてみると、こちらは、どうも「 JSP/Psyme」に感染している疑いが出てきた。

教会のPCの方が重症で、こちらにかかりっきりで離れられない。
知人には自分でスキャンしてもらい、後で結果を教えてもらうことにした。

教会のPC、最初に報告を受けたのは、「デジカメで写し、PCに取り込んだ写真を開くことができない」ということだった。開こうとすると、レジストリにデータがないとか、言ってくる。

その次は、私も現場にいたのだが、作った覚えも無い「住所録の控え」ファイルがいつのまにかできているのに気がついた。おかしいなあ??と思いながら、住所録ソフトで封筒印刷を始めると、動きがおかしくなり、印刷場面で何度もPCがフリーズし、そのうちに、いきなりメーラーが立ち上がり、宛名は空白で、その住所録ソフトで作成した様々な住所録の作った覚えも無い「控えファイル」がメールに添付されて、送信を待つ画面になって、びっくりした。

作業をしていたアカウントは制限アカウントして、メーラーでのメール送受信ができないように、メールアカウントも設定していなかったので、たぶん不正プログラムのメール送信はできなかったと思うのだが、ほんとうにそうなのかは、今もって自信がない。

調べたところ、感染したのは、別のアカウントで、そこは管理者アカウントの設定していた。ここはメールアカウントも設定してあったが、ここでは住所録ソフトは使用していない。しかし、メールの送受信をすることはあったらしいから、もしかしたら、ここから流出した可能性があるかもしれない。「 JS/Psyme」の感染はこのアカウントで、8月14日に起こったことがわかった。

ウィルス対策ソフトは入れているが、教会のように、様々なレベルの複数の人が使うPCを常時管理することは難しい。気がついたときには、こんな状態になっていた。

こちらは、システムのshell32.dllが不正プログラムによって書き換えられてしまったと、ウィルスソフトは報告する。

セーフモードで立ち上げたら、このshell32.dllは上書き訂正できるのだろうか?
それとも、一番安全策でリカバリする方がいいのだろうか?

まだ決めかねている。

とりあえず、感染がわかった段階で、インターネットからは切り離し、感染していない別のPCにデータを移して、事務作業が継続できるようにしてきた。
[PR]
by dande550213 | 2008-09-03 22:44 | PC・IT | Comments(0)