数日前、社内のあるPCが変な通信を外部に発しようとしているのが検知された。変なモン食ったかと思ってアンチウィルスソフトを開こうとしたが、立ち上がらない。ヒヤリとしたが、セーフモードで起動したら立ち上がったので、フルスキャンをかました。

結果は「Downloader」および「Trojan Horse」の検出。サクッと対処して完了した。

しかし変な通信が止まない。その頃子会社から「○ymantecで検出されないウイルスが発見され、対処した」との情報が入った。他社のオンラインスキャンで発見したらしい。もしやと思って入手した情報を頼りに問題のPCを調べると…いた。

問題のファイル名は「SCtri.exe」。Windowsシステムフォルダの system32drivers に隠しシステムファイルとして存在する。しかしこいつは「Service controler Installer」というサービス名で稼動している。そのままでは停止できないので、セーフモードで再起動。サービスが止まっているのを確認してSCTri.exeを削除する。さらにレジストリエディタで “SCtri” を検索し、片っ端から削除。続いて “Service controler Installer” も検索して削除(いくつか削除できないのがあったが…)して完了。イヤな汗をかいた。

追加情報を入手した。ソフォスがこのウィルスを「W32/Autorun-WR (Viruses and Spyware)」と認定。

Protection available since 5 February 2009 01:24:29 (GMT)

という最新型だ。こんなの初めてだ。

SCtri.exeに関してはPrevx(初めて知った)の方が詳しい情報がある。これによればかなり色々やらかしてくれるようだが、特に

Creates c:z8g5q3d3n2s9.exe

というのが厄介。こいつはまた別種のウイルス (Malicious Software) らしい。まだソフォスにも情報がない。こいつもそこそこやんちゃしてくれるらしい。幸いこちらはまだ生成されていなかったようだ。

久々に凶暴なウィルスに出会った。強敵と書いて「とも」と…読みたくない。これからS○mantecに検体を送ろうと思う。

広告