ドメインワークステーションで繰り返し発生するウイルス感染

Question

ユーザーの1人が、ウイルスに関する問題を繰り返し抱えています。このユーザーは2つの異なるマシンで発生し、それぞれのインスタンスで同じプログラムが同じウイルスに感染しています。

マルウェアバイトがマルウェアを検出し、昨日システムをクリーンアップしました。 MSEは何も検出しないことに注意してください。 Malware bytesリアルタイムスキャナーも実行されていますが、今日もう一度確認したところ、システムが再感染しました。

これはWin7 Pro SP1システムであり、最新の更新プログラムがあり、Windowsファイアウォール（および企業ファイアウォールの背後）を実行しており、システム上でMSEとMBAMを実行していますが、それでも再感染します。

ユーザーがそこから拾っている場合に備えて、ユーザーのネットワークドライブをスキャンしましたが、これまでのところ何も見つかりませんでした。

この再発するウイルスの問題の根底に到達し、システムが完全に感染するのを防ぐにはどうすればよいですか？

Temikus · Accepted Answer

Trojan.Agent.Genは、Generic署名です。これは、Malwarebytesのヒューリスティックが何かを見つけたが、アプリケーションはそれが何であるかわからないため、アプリケーションonlyを削除し、バックアップまたはマスクされたコピーを削除することを意味しますまだシステムに残すことができます。これがウイルスではない可能性はわずかです。ウイルスの場合は、最初に署名を確立する必要があります。
次のことを行ってください。

realアンチウイルスエンジンでPCをスキャンし、結果を投稿します。 kasperskyの無料のユーティリティを使用することをお勧めします。これらのユーティリティには、最新のウイルス定義と本格的なウイルス対策エンジンが含まれています。 http://www.kaspersky.com/virusscanner
MalwareBytesが見つけたファイルを取得し、virustotalに送信します。 https://www.virustotal.com/ 結果へのリンクを投稿して、説明を見つけてさらにアドバイスを提供できるようにします。
何らかの理由で、手順1で結果が得られず、手順2で特定のファイルが見つからない場合は、手動で分析を行う必要があります。 AVZシステム分析ログを収集する必要があります。 AVZ4ユーティリティをダウンロード http://z-oleg.com/avz4.Zip 、標準スクリプト1および2を実行し、結果を投稿します。

P.S. Microsoft EssentialsとMalwarebytesは、優れたエンドポイントセキュリティ製品の代わりにはなりません。ウイルスを捕まえるために必要な高度なセキュリティコンポーネントがないため、多くのウイルスを処理できません。このような問題が再び発生したくない場合は、McAffee、Kaspersky、またはESETのいずれかによる業界標準のエンドポイントソフトウェアを使用することを検討してください。特にエンタープライズ環境で作業している場合。

Greg Askew · Answer

通常の容疑者：

ログオンしたユーザーには、不適切な昇格された権限または権限があります。

脆弱で古いAdobeFlashブラウザヘルパーがインストールされています。

脆弱で時代遅れのPDFリーダーがインストールされています。

脆弱で時代遅れのJavaランタイムがインストールされています。

感染したリムーバブルメディア（USBドライブ）の使用。

多くのAPT（高度な持続的脅威）の場合、被害者がダウンロードできる1回限りのカスタムのユニークな敵対的なアプリケーションを構築するのは簡単です。バイナリの暗号化により、これらはスキャンによってフラグが立てられない場合があります。場合によっては、侵入を検出するためにネットワークアクティビティのプロファイルを作成する必要があります。これは、FireEyeやTrend DeepSecurityなどの製品が従来のクライアントベースのウイルス対策アプリケーションと異なる点の1つです。

Bart Silverstrim · Answer

グレッグアスキューの答えに加えて、ここにいくつかの考えがあります。

ユーザーが彼の後にこの感染症を患っている場合、それはこのユーザーの習慣またはアカウントに特有のものでなければなりません。

通常、移動プロファイルである可能性がありますが、使用されていないとおっしゃっていました。

再感染するということは、マントの後にソフトウェアを再ダウンロードしている、ある種のスポイトまたはルートキットに隠されたプログラムを意味します。ユーザーは昇格された特権で実行されていますか？この場合、再感染を取り除く唯一の方法は、コンピュータを再フォーマットして完全に最初からやり直すことであり、ブートセクタを吹き飛ばすことさえあります。バックグラウンドで何かが隠されていて、isが検出されたソフトウェアを再ダウンロードすると、完全に消去されます。

それ以外の場合は、ユーザーの閲覧習慣を確認する必要があります。 Webブラウジングアクティビティを監視するプロキシシステムはありますか？そのログから、感染の前後にユーザーがアクセスしているサイトを知ることができますか？（ソフトウェアがhttp経由でダウンロードされている場合は、プロキシがダウンロードサイトをブロックするように構成されている可能性があります。これは、一部の再感染ベクトルを防ぐのに役立ちます）

別の考え;誤検知です。実行可能ファイルを取得して、複数のAVエンジンに対して実行可能ファイルをテストするオンラインウイルススキャナーにアップロードし、実際にそれらのほとんどをトリガーするかどうかを確認します。私は過去に誤検知に問題を抱えていました。この場合も、プロキシサーバーまたはパケットスニファは、コンピュータが実際にすべきでないことを行っているかどうかを判断するのに役立ちます。 AVがアラームをトリガーするだけでは、コンピューターが実際にすべきでないことをしているわけではありません。

あなたは、感染がコンピュータのロックを引き起こしていると言いました。今日のほとんどのマルウェアの目標は、コンピューターを完全に奇妙に動作させ、それ自体に注意を喚起することによって検出されるのを邪魔することではないので、私にはそれは一種の奇妙なことです。何かが実行可能ファイルを破損している可能性がありますか？マシンがロックしているのは偶然でしょうか？

再感染してリモートインストール（感染者がいる共有やホームディレクトリなど）を見つけられないということは、ユーザーの習慣を監視し、ワークステーションにインストールを削除し、最初から再インストールして非表示のキットを排除し、特権制限を使用してユーザーができるようにすることを意味します。アクセスできる自分のディレクトリにのみ「感染」し、サードパーティのWebサイトを使用してスキャンすることにより、感染した実行可能ファイルが実際に感染していることを確認します。

Edoardo Napoli · Answer

管理者権限でHijackThisを実行し、ログ分析ツールを使用してWindowsレジストリ内の疑わしいエントリを見つけることにより、悪意のあるソフトウェアのバックアップコピーを見つけることをお勧めします。さらに、Adwcleanerとアンチルートキットツールを使用したスキャンは素晴らしいでしょう。