取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ実施協議会  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



(引用記事) Fake anti-virus


The SANS™ Institute http://isc.sans.org/diary.html?storyid=7066
> Fake anti-virus


偽ソフト "Windows Police Pro" ( "Antivirus Pro 2009" ? ) に感染して、いろいろと回復を試みたのですが、結局 Norton Ghost のバックアップイメージからリカバリーしたとか云う記事です。


cmd.exe を独自シェル("desote.exe") に置き換えたりするそうです。(正確には exe ハンドラーの乗っ取りらしいです、よく分かんなぃ・・・。)


亜種が VirusTotalを華麗にスルーってコメントもあるし、うーむ、厳しいですぅ・・・・・・・・・。


リカバリー前のデータ・サルベージに具体的に何を使用したのかが書いてないのですが、"an alternate OS to use to cure" と云うことから察するに Linux の Live CD とかを想像します。

※ コメントに、"Fedora LiveUSB" を使ったと云うヒトが。あと、"a xp PE boot cd" なんて方も。(A/Vベンダーの中のヒト?)


手元で考えると、"Ghost" 相当のソフトは Acronis TrueImage あたり、"an alternate OS" は、KNOPPIX あたりみたいですね。


cmd.exe そのものが置き換わったわけではなさそうなので、「セーフモードとコマンドプロンプト」で rstrui ってワザ、使えないですかね? あー、復元ポイントをご丁寧にクリアする様なヤツだとダメですか、そうですか。


ところで、"do_not_delete.exe" ってのは笑っていいトコなんでしょか? あと "LimeWire" ってトコも。


"application whitelisting" は、「 Windows 7 を待て!」 ってコトかなぁって思います。


(関連)

http://d.hatena.ne.jp/TsuSUZUKI/20090505/1241515097

※ 「 Acronis TrueImage LE CD-R 起動メディアからのバックアップ」


http://d.hatena.ne.jp/TsuSUZUKI/20080328/1206698410

※ 「 Acronis TrueImage LE で Vista 起動パーティションを復元してみる」


http://d.hatena.ne.jp/TsuSUZUKI/20070902/1188719529

※ 「 ThinkVantage Rescue and Recovery 〜 防災の日パート2 」


http://d.hatena.ne.jp/TsuSUZUKI/20090505/1241515095

※ 「ハードディスク消去ツール」 〜 Acronis Drive Cleanser LE を、CD-R ブートに。


http://d.hatena.ne.jp/TsuSUZUKI/20071203/1196658855

※ 「 CDブートの回復コンソールディスク。」 〜 XP SP2 版は、SP3 環境でも起動する模様。

※※ Vista インストールメディア(DVD) も持ち歩いた方が良いかもしれませんねぇ。


http://d.hatena.ne.jp/TsuSUZUKI/20081102/1225629734

※ 「ブルースクリーン無限ループ」と rstrui.exe 。


いじょうです。

    • -