web-dev-qa-db-ja.com

未知のマルウェア、それを報告する方法とそれを誰に報告するか?

私はプロのWindowsシステム管理者ですが、不意を突かれ(または、一部のマルウェアライターはvery巧妙です)、自宅のコンピューター(Windows 7 x64)で未知のマルウェアをいくつか検出しましたSP1);それは非常に最近のものであるか、ルートキットの種類のものである必要があります。なぜなら、アンチウイルス/アンチマルウェア/アンチトロジアン/アンチエニーシングはそれを見つけることができないようであり、私は試しましたかなりそれらのいくつか(そして私はかなりを使った経験があります)。

完全にパッチされたInternet Explorer 8を介して2日前に行われたため、まだパッチが適用されていないホールを明確に悪用したため、これ自体が心配されています(ダウンロードも実行もせず、Webページを開いただけです)。次に、ファイルやアイコンを非表示にしたり、システムエラーポップアップを点滅させたり、システムを再起動したりするなど、マルウェアのような明らかな処理を行い、メインの実行可能ファイルを見つけて削除しましたが、何かが残っています。人気のアンチウイルスプログラムから非常に具体的なマルウェア検出ツールに至るまで、システムで深くsoを見つけられなかったもの。もちろん、私はすべての一般的なマルウェア隠蔽スポット(レジストリ、サービス、ホストファイル、ブラウザアドオンなど)もチェックしました。

そこにあることをどうやって確認しますか? Google検索(検索バーではなくGoogleサイト上)が完全に無関係な広告サイトにリダイレクトされることがあり、誰も起動せずに2つのiexplore.exeプロセスがバックグラウンドで常に実行されています(強制終了すると自動的に再生成されます)。 svchost.exe以外(Process Explorer dutilyが文書化されているように)、明らかに偽の検索サイトに接続している。

「どうやってそれを取り除くのですか?」という明白な質問は別として、私がより興味を持っているのは、専門家にシステムを分析して、それがどのような種類の獣であるかを見つけるためにそれを停止させる方法です。実際に出回る前に...まだ出ていない場合。

編集:実際のように見えますだったルートキット;システムドライブのMBRとブートセクターを書き換えることで、ようやくそれを取り除きました。まだわかりませんwhatブートコードが実際にロードされていました。実行可能ファイルがまだ残っている必要があります...しかし、少なくとも現在は非アクティブです。

windowsweb-browsermalwarerootkitszero-day
18
Massimo

問題のある実行可能ファイルまたはdllを見つけることができる場合は、 https://www.virustotal.com でアップロードすることができます。疑わしい場合は、svchostファイルも試してください。

膨大な数のリストからどれだけの数のウイルス対策エンジンがそれを検出したかを示し、検出できない場合はサンプルをウイルス対策企業に転送して、さらに処理と署名を開発します。

14
john

多くのウイルス対策ベンダーは、ファイルを喜んで調べるだけではありません。例として、これは Comodoのアップロード リンクです。 Microsoftも 見てみる を行います。

私は実際にマルウェアをアンチウイルスベンダーに提出したことがありませんが、それが新しいマルウェアである場合、そこで分析は行われません。そして、私が意味するところを見れば、おそらく「データベースで、マルウェアの自動分析は些細なコードを除いて非常に難しいので、これを行う」または「データベースにない、見てみる」タイプの結果です。フィードバックを得るのが新しいマルウェアであったかどうかはわかりませんが、結果として、検出シグネチャが追加され、エクスプロイトが未知の場合はパッチが適用される可能性があるため、ソリューションの一部になることは絶対に価値があります、 もし良かったら。

詳細については、windbgとプロセスモニターがエクスプローラーを処理する優れたツールであり、自動実行はスタートアップエントリポイントの変更を調べるための優れたツールです。

ルートキットの標準的なアドバイスは、信頼できるメディアからのクリーンインストールです。確かに、それを取り除くのはかなり難しいので、それを取り除いたので、それが戻ってきた場合、それが私のアドバイスであり、他のシステムからのシステムの隔離ネットワークがそれらの悪用を開始しないことを確認します。

ルートキットであり、適切に記述されている場合、特定の検出ツールを回避できる可能性があります。多くの場合、マルウェアのバリアントは、それらが使用したエクスプロイトメカニズムにパッチが適用された後にリリースされるため、そのウィンドウにいる可能性があり、特定のマルウェア検出機能が検出するはずのマルウェアに対して機能しない理由を説明している可能性があります。

7
user2213

それがどんな種類の獣であるかを見つけるために私の専門家に私のシステムを分析させる方法、それはそれが野生で出かける前にそれが止められるかもしれない...

あなたがそれをあなたの家のシステムに持っているなら、それは定義によりそれは野生です。だから、それでは遅すぎます。残念ながら、分析のために、MBRの重要なコンポーネントを破壊した可能性があります。

私の意見では、システム上のマルウェアを分析する最良の方法は、ネットワークから切断することです。コールドブート技術を使用して、RAMのイメージを作成します。電源を切り、ハードドライブを取り外し、ハードドライブをイメージ化します。マザーボード、PCIカード、または永続的な書き込み可能なストレージを提供するその他のフラッシュをイメージします。次に分析が始まります!もちろん、研究者が理論を検証したい場合に備えて、システムハードウェアを未使用の状態で使用できるようにしておく必要があります。

または、@ Ninefingersが示唆するように、そのようにするとはるかに簡単に思えます。

5
this.josh

私のアドバイスは次のステップに従うことです:

  1. ESET Webサイトからオンラインスキャンを実行します

  2. カスペルスキーのWebサイトからレスキューディスクを作成できます。私は一度も試したことはありませんが、コマンドラインスキャナーが含まれている必要があります。マルウェアやルートキットがWindowsで検出されないままになることがありますが、シェルから簡単に削除できます。 PCを完全にオフにして、起動可能なレスキューディスクから起動し、コマンドラインスキャナーを使用して完全なシステムスキャンを実行します。

  3. 同様に知られている小さなツールを試すことができます。それは Malware Bytes と呼ばれます。本格的なアンチウイルスではありませんが、他のブランドのアンチウイルス製品では検出できない厄介なマルウェアや偽のツールはほとんど検出しません。

  4. VirusTotalを介して、疑わしいファイルが多くのアンチウイルスベンダーに自動的に転送されます。ただし、マルウェアの動作が疑われ、疑わしいファイルがない場合は、上記の手順に従うことをお勧めします。 Kasperskyフォーラムも参照してください。

0
RPK