system-restore.com に脅された

なんとびっくり。うまれて初めてマルウェア仕込まれてしまったので復旧までのメモ。

マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアには、様々な脅威が含まれる。マルウェアの例としては、ウイルス、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス (BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なアドウェア[1]、ミスリーディングアプリケーションなどがある。日本では、「悪意のある不正ソフトウェア」または「不正プログラム」とも呼ばれる。

quoted from: wikipedia - マルウェア

原因はよくわからないけど、たぶんWeb閲覧だと思う。Windows Updateはまめに行っているけど、特にウィルス対策ソフトは使ってない。あと、症状現れてたときに使っていたのは Firefox7.0.1。LDRで適当にページを開きながら見ているときだったので、どこのページだかよくわからない。まあ、ろくでもないページは見ないに限りますね！

症状

まず、突然PCの電源が落ちた。スコっと落ちた。
お、と思って10数えてから(このあたりは昭和育ち)電源を入れてみるとひとまず普通に起動するが、デスクトップが表示されずに、アラートのポップアップが一気に20くらい立ち上がる。メッセージが書かれているので読んでみると「ハードディスクが故障していて C: にアクセスできない」みたいなことが書いてある。

で、ポップアップを根こそぎ閉じると、今度はハードディスクが故障しているくせにスキャンツールが起動して、故障してるらしいハードディスクをガリガリやりだす。ここらでちょっと危なそうだなと勘が働いて、いったんデータを入れてる外部HDDの電源だけはオフにした。スキャンは続き、さんざんガリガリやったあと、たくさん故障が見つかったと結果が表示された。

ここらで気づけば良かったのだけど、なかなかに巧妙な内容にすっかりだまされた。画面はかなりそれっぽく作ってあるのと、PCがDELLなんで、この辺のリカバリー的なメニューが英語でも違和感なかった。さらに、PCを数日使い続けてたので、CPUの温度が上がりすぎてるというメッセージを信じてしまった。実際、PCを手で触っても結構熱いので、まあ熱暴走かなと思って電源切ってPCのふたを開けて保冷剤で冷却したりしてみた。このとき、なぜかハードディスク故障してるはずなのに、windowsのスタートメニューは普通に動いた。まあ、あとで考えてみれば他にもいろいろおかしい点だらけなんですが、、

そして、十分冷却してみて、ついでにケーブルの接続などチェックした後、ふたたび起動してみるも症状は変わらず。でもこれ、なんかおかしい。なぜって、冷却した直後なのに、同じように熱くなりすぎてるというメッセージ出るし、しかも温度が常に同じ。その他のメッセージも全部同じ。さらに、スキャンツールが結果を表示した後のダイアログをよく見てみると、どこかのサイトに誘導するリンクがあったり、症状を直すツールを買うという誘導ボタンがあったりする。

もしかしてこれ、やられちゃったか。

しらべる

別のPCでいろいろと検索してみる。
誘導先のサイト名(system-restore.com)を検索すると、すぐにマルウェアだとわかった。ここのページに詳しく載っている。いわゆる、PCの起動フェーズとファイルシステムをのっとって、解除したけりゃ金払えという脅し系マルウェアらしい(分類的にはトロイの木馬？)。いずれにせよ、あー面倒くさい。

まあでも仕方がないので対処する。

対処

ここのページ(英語)か、ここのページ(TROJ_FAKESYS.AK)は日本語で手順が載っています。regedit でひとつひとつレジストリを削除して、入れられたファイル群も削除。最初はファイルが全体的に隠しファイルにされてしまっているので、隠しファイルを表示するようにフォルダオプションで設定をする必要があるかもしれない。一応ファイルが見えるようになれば、必要なところの隠しフォルダ属性をはずす(上位フォルダで実行すればまとめて行うことができる)。また、IEのセキュリティ設定も変更されているので戻しておく。

以上で対応おわり。

なんかいろいろ調べてみると、Flash とか adobe Reader とか Java の可能性もあるのね、、、 その辺はちょっと脇があまかったかも。まあでも被害がほとんどなくて良かった。もろもろ update 怠ると怖いのですね。くわばらくわばら。