7/5 15:34 トレンドマイクロ社より 英語情報公開の連絡
KDR_DUMADOR.AO の英語情報
日本語版は 7/7 午後に公開予定だそうです。
英語情報によると、SARS以外に以下の2箇所も書き換えられるとのこと。これは直してなかったなぁ。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load32 = "%System%\winldra.exe"
まぁ、こっちは起動時に実行される設定っぽく、実体が無くなっているので消さなくても問題がないだろうけど。...レジストリを検索したらありませんでした。ファイル名で検索した覚えがあるので、それで消したのかな?
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
AllowWindowReuse = "dword:00000000"
こいつは何の設定なんだろう?とりあえず、消しておけと書いてあるので消しておきました。
その後、1通着弾。何故か spam フィルターに引っかかっていました(^^;
怪しいファイルを削除する際、dll がファイルを使用中で削除できませんでした。なので、拡張子を .dll_ へ変更し、その名前のフォルダを作成。駆除し損ねても、ウィルスが動けないようにしてマシンを再起動。再起動後 dll_ を削除してタスクマネージャーで怪しいファイルが動いていないか確認しました。
Unix なトロイだと ps コマンドを改竄したりするのは普通ですが、Win なトロイはそこまでいってないと思うので(^^;
最近の Unix な root kit だと、カーネルモジュールになっていてコマンドだけでなく、OS を乗っ取ってしまうらしいです。インストールCDから改変されていないコマンドを持ってきても、カーネル(OSの根幹)に寄生しているため、ps コマンドの目を眩ますぐらいお手の物とのこと。あなおそろしや。
KDR_DUMADOR.AO の英語情報
日本語版は 7/7 午後に公開予定だそうです。
英語情報によると、SARS以外に以下の2箇所も書き換えられるとのこと。これは直してなかったなぁ。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load32 = "%System%\winldra.exe"
まぁ、こっちは起動時に実行される設定っぽく、実体が無くなっているので消さなくても問題がないだろうけど。...レジストリを検索したらありませんでした。ファイル名で検索した覚えがあるので、それで消したのかな?
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
AllowWindowReuse = "dword:00000000"
こいつは何の設定なんだろう?とりあえず、消しておけと書いてあるので消しておきました。
その後、1通着弾。何故か spam フィルターに引っかかっていました(^^;
怪しいファイルを削除する際、dll がファイルを使用中で削除できませんでした。なので、拡張子を .dll_ へ変更し、その名前のフォルダを作成。駆除し損ねても、ウィルスが動けないようにしてマシンを再起動。再起動後 dll_ を削除してタスクマネージャーで怪しいファイルが動いていないか確認しました。
Unix なトロイだと ps コマンドを改竄したりするのは普通ですが、Win なトロイはそこまでいってないと思うので(^^;
最近の Unix な root kit だと、カーネルモジュールになっていてコマンドだけでなく、OS を乗っ取ってしまうらしいです。インストールCDから改変されていないコマンドを持ってきても、カーネル(OSの根幹)に寄生しているため、ps コマンドの目を眩ますぐらいお手の物とのこと。あなおそろしや。