2008年07月15日

searchpiece.comに注意

職場で「IEのスタートページが勝手に書き換えられていた」という相談を受けた。そういうのは十中八九でなくて十中十(←なんかAA的にはいいデザイン)ウイルスもしくはマルウェアの仕業に決まっている。さては踏んだな。

詳しく聞く。いわゆるホームページ(ブラウザを起動したときの初期表示ページ)が、何度書き換えても再起動するたびに「ttp://www.searchpiece.com/」になっているという(自動リンクしないようにh抜き)。
Googleで調べたら、フランス語のサイトにTrojan security essentials + création icones intempestive. - Questions techniques diverses::Sécurité - 01net. Micro Hebdo : forumと類例が出ていた。
どう見てもトロイです。本当にありがとうございました。無音のhてか。

ということでいろいろ駆除方法を試したところ、ウイルスバスターが反応してくれた。ウイルス本体はC:\WINDOWS\system32\navflt.dllで、TROJ_AGENT.AMIHという名称とのこと。
断定はできないが、削除後再発していないところを見ると、こいつが犯人である可能性が濃厚だ。⇒関連ページ
トレンドマイクロの最新のパターンアップデートに含まれていたウイルスのようで、まだ感染例も少ない模様だが、単に気づいていない人が多いだけなのかもしれない。心配な方はオンラインスキャンをおすすめ。

追記:
その後、「またホームページが……」というSOSを受けた。これはもう再インストールした方がいいかもね、と思いつつ調べたら、C:\windows\system32に妙に新しいファイル「stray.exe」(39,936バイト)があることを発見。果たしてプロセスにも居ついている。別にウイルス警告は出ていなかったが、こいつが怪しいと見て隔離したら再発しなくなった。しかし他にもまだまだ巣食っているマルウェアがいるんだろうなあ。
ともあれ皆さんくれぐれもお気をつけください。
posted by NA at 00:39| 東京 🌁| Comment(0) | TrackBack(0) | 電網 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/102903895
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック