読者です 読者をやめる 読者になる 読者になる

ぽかぽかウンティの自由帳

ぽかぽか動物園から投稿します。

朝っぱらからマルウェアを手動駆除した {$2155-7641-8331-3536$} comhost.exe

今日は積雪の影響で自宅作業。朝っぱらからマルウェアと格闘した。

事象

ThinkPad X1 Carbon Windows8.1 でログオン時に自動で管理者権限でコマンドプロンプトを立ち上げて処理を走らせようとするマルウェア。しかし UAC。「はい」を選択したらどうなることやら。

マルウェアについて

スタートアップへの登録

Microsoft Networking という名前で登録される。UAC 後だとプロセスが専有してファイルを削除できない。

C:\Users\HOGEHOGE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Networking
レジストリへの登録

UAC 後だと消しても消しても自動で再登録される。何かしらの監視処理が走っているものと思われる。

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
実行ディレクトリ、ファイルの生成

隠しフォルダ C:\ProgramData 内に隠しフォルダ 2155-7641-8331-3536 を作成し、内部に数字だけの名前の実行ファイルを生成する。数字だけの名前の実行ファイルの正確な値は失念。こちらもプロセスが専有してファイルを削除できない。Exploler では視認できなかったが、コマンドプロンプトから rd /s しようとすると、comhost.exe がプロセス使用中だからと怒られる。

C:\ProgramData\{$2155-7641-8331-3536$}\472531

対応

Windows ログオン時に瞬時に実行ファイルが入ったディレクトリとスタートアップファイルを削除し、間髪入れずに Win + R で regedit を開き、2155-7641-8331-3536 か comhost.exe で grep してレジストリからも削除。んで再起動してログオンしても起動しなくなった。

UAC が出る前までが勝負。UAC が出た後はファイルを削除できない。レジストリ消しても再登録される。実行ファイル削除あたりで明らかに変なアラートダイアログが表示されるので、それを放置すると落ち着いて消せる。