|
とあるハッキング被害を受けてる日本語表記の一般サイトへアクセスし、強制インストールするようになってたウイルス検体の実行ファイル(exe拡張子)を手動で回収してきました〜。  セキュリティ会社 Comodo が提供してる無料オンライン解析サイトにファイルを投げてみたところ、Windows PCを狙う偽セキュリティソフトPrivacy Protectionのようだったので、実際に手元で実行ファイルを起動して動作の確認を行いました。 投入されて24時間も経過てないため、とても新鮮ピチピチです。 camas.comodo.com/cgi-bin/submit?file=98d014185768eaefd29758646810b81ec785c71dfacf96451f64d9d1405fe711 (ウイルス解析)
www.virustotal.com/file-scan/report.html?id=dc5ec8d081d907aaf9a3581eec8db40ee98a09f1cafb571829a0925dd6c7b686-1320578638 (↓を吐くドロッパー) www.virustotal.com/file-scan/report.html?id=16403753225daf0119ddba236075f5f570cae7009153cc5865f2b50754d91b81-1320580806 (Privacy Protection本体) この一般サイトは個人運営のようですが、それなりに有名なのか「はてなブックマーク」の登録数はトップページで1,500件で、ブックマーク数3ケタに及ぶ個々のページもゴロゴロと存在するみたい。 全ページに不正な攻撃用JavaScriptコードが挿入されちゃっていて、ブラウザ内部でこんな感じで強制的に処理が行われます。  http://***-***.net/ 〜 ↓ http://*****.myftp.org/main.php?page=7dc34c4bf2100d19 (エクスプロイトキット) ↓ http://*****.myftp.org/w.php?f=16&e=2 (ウイルス)このような侵害された一般サイトを運悪く踏んでしまっても下の4種が最新状態であるならウイルス対策ソフトを使ってようが100%感染被害は起こらずに済みます (1) Java/JRE (2) Adobe Reader (3) Adobe Flash Player (4) Windows Update 特に、後手後手対応のウイルス対策ソフトに依存してウイルス対策できてないユーザーさんまでも、知らないうちに勝手にマルウェアの被害に遭うことに…。 ■ インチキ偽セキュリティソフト「Privacy Protection」 「SECUDRIVE Privacy Protection」(www.secudrive.jp)なる商品があるようですが、名前が被っただけで別モノです。 ↑1番目の画像にある右下の偽ポップアップ通知「FIREWALL WARNING」が表示される時は、ゾンビの雄叫びみたいな音声が再生される演出があって、素でビビるwww ・ 駆除削除方法 ひとまず激しい妨害行為を抑えるため、Privacy Protectionウィンドウの左下にある[Get full time protection now]をクリックして、2番目の画像のようにレジストコードを入力して購入状態へと故意に持ってきます。 メール部分はデタラメ文字列+半角「@」を付け足したものを入力してください。そして[Confirm activation]ボタン。 ・ http://xylibox.blogspot.com/2011/11/privacy-protection.html 次に、タスクバーの通知領域にあるPrivacy Protectionアイコンで[右クリックメニュー]→[Exit]でプログラムを終了できます。 あとは手動でやるなら、privacy.exeファイルを見つけて削除、レジストリのRunキー部分にある項目の削除となります。 ・ http://www.bleepingcomputer.com/virus-removal/remove-privacy-protection |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
おかげで解決できました。
マジで助かりました。
感謝します。ありがとうございました。
[ たけ@ふじ ]
2011/11/19(土) 午後 10:34
こんにちは、おかげで解決できました!
本当にありがとうございました。
ちなみに、私も初めは「Wrong Activation Code Please Check AND retry」という文が出て先に進めませんでしたが、コードの中の「ハイフン」を「アンダーバー」にして入力していたことが原因でした。
[ nat*u00*07 ]
2011/11/20(日) 午前 0:45
知人の機械が感染し、紹介されているとおりの方法で無事にアンインストールすることができました。
ありがとうございました。
[ たーん ]
2011/11/20(日) 午後 11:06
助かりました。ありがとう。
[ kir*go*m* ]
2011/11/21(月) 午前 1:32
本当にありがとうございます!!!
とても助かりました。。
本当になんてお礼を言えばいいか・・・
[ 匿名 ]
2011/11/23(水) 午後 11:51
助かりました!ありがとうございました!
[ sss ]
2011/11/24(木) 午前 0:51
はじめまして。「レジストリのRunキー部分にある項目の削除となります」の意味が分からないのですが…ww
[ tae ]
2011/11/26(土) 午前 0:07
はじめまして。
感謝!感謝!です
こんなに親切で図解まで
ほんとにありがとうございました
ウイルス - 本当に怖いです (汗)
おかげさまで 駆除できました
[ me9さん ]
2011/11/26(土) 午前 2:20
本当に助かりました。
心から感謝します。
[ djinn ]
2011/11/26(土) 午後 4:45
はじめまして。タスクバー起動して(ctrl+shift+esc)+クロ終了高速押しで一時的に消えました。そのあとにスタートとR同時押しでmsconfigッて入力してスタートアップでチェック外しても消えました。
[ sutaueda100 ]
2011/11/26(土) 午後 5:14
はじめまして、どうしてよいのかわからずに、わらをもつかむような気持ちでこのブログを参考に駆除できました。
ありがとうございました。
すでになにかパスワードとかIDとか盗まれたのか心配ですが・・・
[ *エ*ン*ド*レ*ス*ラ*ブ* ]
2011/11/26(土) 午後 11:15
二番目の画像がよくみえないのですが…レジストコードってなんですか?
[ xoxo ]
2011/11/27(日) 午前 11:16
ありがとうございます。
助かりました。
[ himitu ]
2011/11/27(日) 午後 4:04
突然の感染にわけもわからずパニック!
こちらのサイトのおかげで元に戻りました。
ありがとうございました。
[ ももはなぴん ]
2011/11/27(日) 午後 6:13
さっきまでパニクッテましたが削除できたみたいです
有り難うございます
2011/11/27(日) 午後 10:49
初めてウィルスにかかって慌てて検索したら貴サイトを見つけてやってみました。無事出来ました!
ありがとうございました!
[ ★ ]
2011/11/30(水) 午前 0:15
参考になりました、ありがとうございました。
ツイートで引用させていただきました、ご了承下さい。
http://twitter.com/#!/Ride19_/status/141985627720777728
2011/12/1(木) 午前 6:37
助かりました^^ありがとうございます(^O^)/
[ ara*bic ]
2011/12/13(火) 午後 3:29
こんばんわ。最初、ウィルスにかかっているともわからず
検索したら貴サイトを見つけました。
レジストリキーを入力してConfim activationを押すと、
「Wrong Activation Code Please Check AND retry」という文が出て通知領域を右クリックしてもExitが出てきません。
どうしたらよいでしょうか。
[ くまさん ]
2013/6/13(木) 午前 3:57
こんばんは。いきなりすみません。
わたしもこのウイルスに感染してしまったようです…
レジストリキーの入力をしてみたのですが、Wrong Activation Code ! Please Check and retry.
とでてきてしまい、先に進めません…
どうかお助け下さい…
[ satomi ]
2013/9/18(水) 午前 1:23