新たな攻撃

久々にウィルスの攻撃を受けたので、顛末をまとめておく。

まず、なんの前触れもなく、突然Live Security Platinumという、一見セキュリティ・ソフトウェアに見えるもののPOP-UPメッセージが出て、このパソコンがウィルスに汚染されているという。

続いて、Live Security Platinumのコンソールのようなものが表示されて、あれよあれよという間にウィルス・スキャンをしているかのような画面が動き出し、一見ぎょっとするような数のウィルスが検出されているかのような表示が行われる。

そして、このウィルス対策の実施を勧めるメッセージがでて、ボタンを押すとクレジット・カード情報の入力を求めてくる。

ここでやっと話がおかしいと気付いて、このソフトウェアを止めて、自分でいろいろと調べようとするが、何をやっても妨害されて、再び画面が動き出す。

スマートフォンを使ってこのソフトウェアの名前を検索してみたら、以下のページなどにヒットし、やはりこれは新手のウィルスであることがわかる。

http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-syssec.htm

このページに出ている情報を参考にして、ウィルスの本体の場所を突き止め、削除してとりあえずの危機を回避する。

さらにこのページで推奨されている、根本的な対策を講じようとするうちに、Windows Updateが機能しなくなっていることに気がついた。

http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/version-check.htm

調べてみると、Windows Updateの前提となっている、BITSというサービスや、Windows Updateのサービスそのものが存在しない。いろいろと調べていくうちに、どうやらWindows 7のシステムそのものが何らかの損傷を負っていることが分かってきた。

Windows 7のインストールDVDを使って、アップグレード・インストールを行ってみるが、BITSやWindows Updateのサービスは復旧しない。さらに調べるうちに、以下のサイトを見つけ、これを元にBITSとWindows Updateサービスの復旧を試みる。

http://answers.microsoft.com/en-us/windows/forum/windows_7-windows_update/windows-update-service-not-running/1ef40226-b057-4d2e-ab32-24ae03a31e92?page=4

ほぼ、このサイトの方法で良いのだが、私の場合はサービスそのものが全く無くなっていたので、以下のようなbitsとwuauengサービスを作成する様に、手順を追加・変更する必要があった。

regsvr32 c:\windows\system32\wuaueng.dll /s

sc create bits binpath= "c:\windows\system32\svchost.exe -k netsvcs" start= delayed-auto obj= LocalSystem

その後、なんとかWindows Updateが出来るようになるが、security patchのinstallに失敗して、再びBITSやWindows Updateのサービスが削除されてしまうことがあった。どうもWindows Updateの仕組み自体に問題があるような気がしてくる。

何度か修復を重ねて、全てのupdateを当て終わると、Microsoft Security Essentialsが使えるようになったので、内蔵ディスクとUSBドライブにフルスキャンを駆けてみる。

と、出るわ出るわ、合計5つほどのマルウェアスパイウェアなどが見つかった。

結論から言うと、今回の進入経路は更新されていなかったJava RTEのセキュリティ・ホールだったらしい。また、Windows Updateも途中で止まっていたので、そちらの脆弱性も原因である可能性がある。

実際に被害に会う前に、古いソフトウェアを動かしていることのリスクに敏感になるべきだと、改めて実感した。