The SANS™ Institute http://isc.sans.org/diary.html?storyid=7066
> Fake anti-virus
偽ソフト "Windows Police Pro" ( "Antivirus Pro 2009" ? ) に感染して、いろいろと回復を試みたのですが、結局 Norton Ghost のバックアップイメージからリカバリーしたとか云う記事です。
cmd.exe を独自シェル("desote.exe") に置き換えたりするそうです。(正確には exe ハンドラーの乗っ取りらしいです、よく分かんなぃ・・・。)
亜種が VirusTotalを華麗にスルーってコメントもあるし、うーむ、厳しいですぅ・・・・・・・・・。
リカバリー前のデータ・サルベージに具体的に何を使用したのかが書いてないのですが、"an alternate OS to use to cure" と云うことから察するに Linux の Live CD とかを想像します。
※ コメントに、"Fedora LiveUSB" を使ったと云うヒトが。あと、"a xp PE boot cd" なんて方も。(A/Vベンダーの中のヒト?)
手元で考えると、"Ghost" 相当のソフトは Acronis TrueImage あたり、"an alternate OS" は、KNOPPIX あたりみたいですね。
cmd.exe そのものが置き換わったわけではなさそうなので、「セーフモードとコマンドプロンプト」で rstrui ってワザ、使えないですかね? あー、復元ポイントをご丁寧にクリアする様なヤツだとダメですか、そうですか。
ところで、"do_not_delete.exe" ってのは笑っていいトコなんでしょか? あと "LimeWire" ってトコも。
"application whitelisting" は、「 Windows 7 を待て!」 ってコトかなぁって思います。
(関連)
http://d.hatena.ne.jp/TsuSUZUKI/20090505/1241515097
※ 「 Acronis TrueImage LE CD-R 起動メディアからのバックアップ」
http://d.hatena.ne.jp/TsuSUZUKI/20080328/1206698410
※ 「 Acronis TrueImage LE で Vista 起動パーティションを復元してみる」
http://d.hatena.ne.jp/TsuSUZUKI/20070902/1188719529
※ 「 ThinkVantage Rescue and Recovery 〜 防災の日パート2 」
http://d.hatena.ne.jp/TsuSUZUKI/20090505/1241515095
※ 「ハードディスク消去ツール」 〜 Acronis Drive Cleanser LE を、CD-R ブートに。
http://d.hatena.ne.jp/TsuSUZUKI/20071203/1196658855
※ 「 CDブートの回復コンソールディスク。」 〜 XP SP2 版は、SP3 環境でも起動する模様。
※※ Vista インストールメディア(DVD) も持ち歩いた方が良いかもしれませんねぇ。
http://d.hatena.ne.jp/TsuSUZUKI/20081102/1225629734
※ 「ブルースクリーン無限ループ」と rstrui.exe 。
いじょうです。
-
- -