11月29日、スパイウェアドクターがXPマシンのCドライブのWINDOWSの中にAhnRpta.exeというファイルを検出しました。脅威名にはTrojan-PWS.Magania.AHIWと書かれていました。
今回の大失敗は
駆除の前にCドライブのWINDOWSフォルダの中を確認しなかった、ということです。
駆除したあと見たけれど、当然なくなっていました。
駆除の前にチェックすべきでした。
この、AhnRpta.exeについてはPrevxにマルウェアグループであるという記述があります。
モロッコなどで去年確認され、今年の11月には韓国、イギリス、エクアドル、インドなどで確認されているようです。これはUSB感染するrevo系ウィルスであるとの情報がネットに出ていますが、USBからは検出されず、いきなりCドライブからの検出となりました。
脅威名となっている
Trojan-PWS.Magania.AHIWは日本語の情報がありませんが、スパイウェアドクター、securitystronghold、gazeta.pl forum.、kamsoft、commentcamarche.netなどに記述があります。トロイだとのことで、シマンテック[Symantec]では W32.Gammima.AG、トレンドマイクロ[TrendMicro]ではTROJ_GAMETHI.DTRと呼ばれているようです。
Cドライブの中から見つかったAhnRpta.exeというファイルがトロイのPWS.Magania.AHIWなのでしょうが、これは、レジストリを修正したりするらしく、スパイウェアドクター検出記録をよくみると、レジストリ記述の最後にNOD32KVBITという名称を見つけました。私はNOD32の4.0を入れているので、一瞬NOD32のバグによってトロイが誤検出されたのかと思いました。
それで今度はNOD32KVBITを検索してみましたが、これもまた日本語のサイトには全くヒットしません。
しかしたとえばDANIWEBには(DanyWeb)にはトロイ(Trojan)であるという記述があります。
これら一連の検出ですが、思い当たるのはスパイウェアドクターとアドアウェア(AdAware)のブッキングです。
アドアウェアは、職場のセキュリティ環境があまりにも劣悪なため、リアルタイム保護をオフにして、時折フルスキャンするために入れていました。
しかし、このアドアウェアが、先日突然「最新版へようこそ」となって、最新版に移行されてしまいました。
このとき、キャンセルのボタンはなく、OKをクリックするしかありませんでした。最新版になったアドアウェアはリアルタイム保護をオフに出来ず、結果常駐になってしまいました。
つまり、NOD32とスパイウェアドクターが常駐でアドアウェアはリアルタイム保護オフだったものが、3つともリアルタイム保護オンになってしまったのです。このことによるバグが出たのではないかと思われます。
そこで1度アドアウェアを捨て、再度窓の杜からアドアウェアの旧バージョンを入れようと思いましたが、できませんでした。その後再びTrojan-PWS.Magania.AHIWを検出し、レジストリの中にNOD32KVBITがあります。
そこで12月2日、完全にアドアウェアを削除しました。
いまのところ(12月4日)、検出はされていません。
それから、これらの作業を深夜にしたので、駆除後、最後睡魔に襲われてしまい、システムの復元をオフにして再起動するのをすっかり忘れてしまいました。この影響が出るでしょうか・・・。
またその後日談を報告したいと思います。
いずれにせよ、日本語の情報が少ない、ということに困りました。
英語の情報はいろいろありますが、そんなに英語ができるわけでもなく、類推しながらでなければ読めません。きっと大間違いで読んでいるところも多々あると思います。
つたないですが、この「日本語の情報」が何かの役に立つことがあれば幸いです。
コメント