2011年04月09日
Clean Thisと言う名のマルウェア(ウイルス)
先日、取引先のPCがウイルスに感染した疑いがあるとの連絡を受け、
早速様子を見に行ってきました。
内容を聞いてみたところ、
おそらく海外から来たメールの添付ファイルから感染したんだろう。。。 と、
言う事でした。
当該PCにはウイルス対策ソフトがインストールされておりました。
正直言って世間的にはあまり評判の良いソフトウェアではないのですし、
一般的で社会的にも評価されている
ノートンなどのソフトウェアに乗り換えて欲しかったのですが、
何もインストールしていないよりはマシだろうとそのままにしてあったのでした。
で、メールの添付ファイルを開いた瞬間、トロイの木馬を検出したとの表示が出たと
驚いた依頼者さんから私のところに連絡があったのです。
お伺いして、早速PCを確認させてもらったところ、
トロイの木馬といいながら、すでにIEが起動せず&
WindowsXPとしてもほとんど機能していない様に見えました。
この時点ですでに何かおかしいと思いました。
しかし、トロイの木馬と聞いておりましたので、
標準的なトロイの木馬用の削除ツールも用意しており、
早速再起動&セーフモードで削除ツールを起動させたのでした。
しかし、トロイの木馬は検出されず。
妙だと思いながらも再起動させると、今度はClean Thisというソフトウェア画面が表示され、
そこからは一歩も譲ってくれない状態に。
お金を払って有料版をインストールすれば先に進める。。。 みたいな。
そうです。一般的に言うマルウェアって奴です。
つまり、あなたのPCはウイルスに感染しています。
ですから、お金を支払って製品版のウイルス対策ソフトを購入すれば、
PCは元通りに戻ります。っていう、そのものがウイルスとも言える悪質なものです。
ちなみに、支払いの手順をふまなければ、CleanThisの画面からは一歩たりとも先に進めません^^;
そこで、iPhone片手に「CleanThis」の事を調べつつ、
レジストリなどを修正する事で、このCleanThisの動きを止めようと試みたのですが、
いくつかのサイトにある様なところには、このプログラムの本体を発見できずでした。
と言う訳で、一旦PCを預かって帰ってきたのでした。
やる事は単純です。
PCのHDDを取り外して、外付けUSBケースに入れて外付けHDD化し、
ノートンがインストールされたPCに接続してスキャンです。
そしたら見事にウイルスとして検出され、プログラムは削除されました。
ウイルス名 Trojan.FakeAV
シマンテックによるテクニカルノートはコチラ。駆除方法も。
その後、PCにHDDを再びマウント。
電源を入れて、正常に起動する事を確認しました。
ただ、まだ不安な部分もありましたので、
今度はカスペルスキーの体験版をインストールし、完全スキャンを実行してみました。
すると、削除されたTrojan.FakeAVの破片がさらに発見されました。
おそらく、それだけでは起動しない破片だと思われますが、当然削除処分に。
と言う訳で、表面上は元通りになりました。
もっと時間があれば、レジストリの修復系ソフトでスキャン&修復を
行っておいても良かったかもしれませんね。
みなさんも、ウイルス対策は普通に行っておいた方が良いと思いますよ。
間違えても、更新費用が無料なんて言葉に騙されるのは良くないと思います^^;
また同時にバックアップ作業もお忘れなく^^
楽天市場リンク
「ノートン」パソコンカテゴリ検索結果ページリンク
「カスペルスキー」検索結果ページリンク
Amazonリンク
 | 新品価格 |
 | Kaspersky Internet Security 2011 1年3台版 新品価格 |
 | 新品価格 |
【ITの最新記事】
[Sony非公式] PS5用 ブラックフェイスプレートを買ってみた
この記事へのコメント