「ブラウザハイジャックに遭う^^; 解決編 (2017/10/17)」


(前回のあらすじ):
ブラウザハイジャックに遭ってブラウザを乗っ取られた。^_^;
「Adblock Plus」のニセモノがChromeウェブストアで配布され3万7000人がダウンロードしてしまう事態が発生(gigazine)


ウィルス対策ソフトでも対応してない新型なので
自力で駆除することにする。


今回使ったのはProcessMonitorってツール。
Windowsの全ファイルアクセスに対するアクティビティを取得します。



ちなみに。これ
「OSで発行されている全てのファイル活動を完全に拾う」
ので、
わずか10秒で10万行ぐらい出力されます。^^;


なので使うときには必ずフィルターを設定して
欲しい情報だけを取り出します。
今回は例の「chrome_cleanup_tool.exe

こいつで罠をかけて見張ってると・・・

あー出た出た出た。
chrome_cleanup_tool.exeにDELETEコマンド出して削除してる奴。
こいつが犯人だ。

rundll32.exe

あっ


・・・なんてこった。OTL
思ってたよりも根が深い。
たかが広告型マルウェアと思ってあなどってたら
こんな深い所まで侵入されちゃってたかあ。

rundll32.exeはOS謹製の重要な.exeファイルです。
ウィルス対策ソフト、つまりは通常のアプリ権限より上位にいます。
なので(感染してる)rundll32.exeを調べようと思ってもOSから拒否られるから
この領域は調べられないんですね。
こりゃウィルス対策ソフトでも見つからないわけだ。


ウィルスさんも、どうやってこんな深い所まで来たんだろうな。


まあいいや。
犯人&場所さえわかっちゃえば
別に怖くありません。

Windows10のオフラインスキャンを実行します。


オフランスキャンとはマシンを再起動して、OSがブートする前に
ウィルス検査&駆除用のミニOSを走らせて
HDDをスキャンする方法です。

これを走らせれば
問題の不正rundll32.exeは純正rundll32.exeと中身が違う。
すり替えられてると気づいて
純正rundll32.exeに置き換えてくれます。

OSがロードするまえならrundll32.exeでもたかが
HDD上の1ファイルにすぎまないので
普通に削除できるようになります。


これで完了。

オフラインスキャンを実行してからは
ブラウザの不審な挙動もなくなって
無事完治しました。


・・・いやあこれは手が込んでたなあ。^^;
OSのプロセスが乗っ取られぐらい
深い所まで入られたのにむしろ感心ですよ。
     
  1. 私がいつも管理者モードでPCを使っている。(フルコントロールを持つほうが楽だから)
     
  2. 私がいつもWindowsDefenderをオフにしている。
    (ウィルス対策ソフトをオンにするとPCの性能が3割ぐらい落ちる。
    車で言えば常時300kgの重りを荷台に乗せてるようなもので、
    切れるなら切った方が普段の燃費に圧倒的に良くなる。)

  3. Chormeストアにマルウェアが紛れ込んでた。

  4. そのマルウェアがrundll32.exeまで乗っ取る強個体。

これらの要因が全部同時に重なった結果
rundll32.exeまで食われたみたい。


う~っむ。
不審なファイルはクリックしない。起動させない」自信があったので
ウィルス対策ソフトは切ってたら、
・・・Chromeの純正ストアにマルウェアが紛れ込んでたとは困ったな。
たはは。

油断してた私が悪いかな。
ストアの品と言えど
信頼しすぎて警戒0で家に招き入れちゃったのはミスですね。