なんか今週月曜日から大騒ぎだったウィルス祭。フロア内全体的に感染しまくり。自分は感染してないからどうでもいいかと思ってたら隣近所は感染するは、管轄のサーバーまで感染するし…
でもIT部門があるんだからお任せしてたんだけど月曜日に感染し始めて金曜になってもちっとも改善されないので、自分の周りだけは何とかしようとこっそり調査したり。
前提としては
クライアントにはウイルスバスター コーポレートエディションが入ってる。
OSはWindows XPとServer 2003がほとんどっぽい。ちなみに常駐先の方々はWindows Updateする習慣がないのでXP SP2になってるかどうかも怪しい。Server 2003なんてGoldもある。
で、感染したのは自分以外の大勢とServer 2003が3台。サーバーの方は1台がGoldでウイルスバスターのサーバーも兼ねてる。2台がR2でちゃんとWindows Updateしてるけどウィルス対策は無しだが、本番稼働前で開店休業中。アクセスできる人はかなり限られていた。
こんなんなので感染源はいくらでも考えられるんですが…
症状は
どこかになにかをばらまいているようで社内全体のネットワークが重くなる。メールサーバーに繋がらない。
ウイルスバスターはIEのテンポラリにあるgifファイルとかなんか感染してるよって大騒ぎ。
IEのキャッシュを削除しようとするとOSが落ちてリブートがかかる。
hostsファイルが書き換わって困る。ちなみに削除してもまたすぐ復活させられる。
サーバーのIISがなんか撒いてる。
どうやらウイルスバスターさんが知らないウィルスが本体のようだということで、手動でごにょごにょする感じ。自分で感染してないし、ここ何年もウィルスに感染したことがないのでかなり遠回りで手探り状態。
当然起動時になんか仕込んでるだろうからレジストリの前略\Run を見てみたら、怪しいのがいくつか。明らかに胡散臭い半角数字.exeみたいのが登録されていたので削除。あと HBService という名前でSystem.exeとやらが登録されている。このエントリーを削除したんだがすぐ復活。タスクマネージャーでプロセスを確認するとユーザー名が入っていないSystem.exeがなにかしてらっしゃるので、どうやらこいつが何かしてやがるんだろう。プロセスを抹殺しようとするができないので困る。
HBServiceというのでぐぐるとほぼ中国語のサイトしか見つからないw どうみても発生源です。本当にありがとうございました。
対処法もちらほらあった。
本体はWindows\System32\drivers\HBKernel32.sysというデバイスドライバのようだ。
→デバイスマネージャーで非表示のデバイスを表示して、非PnPのところにあるHBKernelを無効にしたり起動をブートから無効にしたりで再起動。ファイル削除、エントリ削除ですっきり。Windows\System32に件のSystem.exeとHBから始まるDLLとか色々作ってくださってるが、削除できない。感染したときに作られているのでだいたい同じ時間のファイルなので判別は簡単かと。
→リネームはできるので、HBKernelを無効にして再起動する前にリネームしてその後削除すればOKぽい。
ちなみに、そのDLL群はレジストリのAppInit_DLLsに登録されているのでレジストリからも削除すると良い感じ。Windowsにある数字.exeファイルはあっさり消せる。
ココまで来たらあとはレジストリの前略\RunからHBServiceを削除しても復活しなくなってるのでOKっぽい。IEのキャッシュを消しても再起動もされないのでたぶん大丈夫。
おおむねこれぐらいで良さそうな感じになったけど、本当に除去できたかどうかはよくわからんですよ。そのうちウイルスバスターさんとか対応してくれるといいなぁ…
クライアントの感染は元々はわからんけどIISから頂いた人が多そうだ。ちゃんとWindows Updateしてれば感染しなかったと思うけどね…
謎なのはサーバー。まめにWindows Updateしてて最新の状態だったし、基本的に放置なのになんで感染したのかなぁ。IISが入ってるからNimdaみたいな未知の脆弱性かなんかでやられちゃったのかしらねぇ…
破壊活動らしい破壊活動はしてなかったので不幸中の幸い?これを機にちゃんと対策してくれるようになるといいな。ISMSとかISOなんとかとか取得してるんだからさ…