Author Topic: rootkit-genとAvastの制限ポリシーについて  (Read 8175 times)

0 Members and 1 Guest are viewing this topic.

Masaa

  • Guest
rootkit-genとAvastの制限ポリシーについて
« on: May 11, 2014, 10:05:19 AM »
はじめまして、Masaaと申します。
昨晩のことで、うろ覚えな点が多く恐縮なのですが、お分かりになられる方がおられましたら、是非お助け頂ければと思い投稿させて頂きました。

環境:MacOSXパラレルデスクトップ上のWindowsXP(SP3)にてAvast無料版を使用させて頂いております。

上記の環境でCravingExplorerというブラウザを使い、DailyMotionというサイトを訪れた際(我ながら不用意だと思います...)「rootkit-genを検知、チェストに隔離しました」といったような反応がありました。CravingExplorerは強制終了してしまいました。
Avastのウィンドウを開き、動作の履歴を確認してみると、駆除(隔離?)に成功との表示になっていました。対象のファイル数は1でした。
チェストを見てみると、隔離されたファイル名は「cinjpo.dat」というものでした。

その流れでAvastのメンテナンス項目からウイルス定義の更新を手動で行ったのですが、定義ファイルのダウンロード完了後、Avastを起動しようとすると「制限ポリシー〜」(正確な表示は思い出せないのですが...)というエラーが出て起動出来なくなってしまいました。

やむを得ずAvast無料版を再インストールしようと思い、プログラムの追加と削除から既存のAvastをアンインストールしようとしたところ、Avastの項目に「既に削除されているかもしれない」といったような表示が出ていたのですが、削除ボタンは機能したのでそのままアンインストールを行い、念のためセーフモードでXPを起動し直してAvastcleanというソフトを使い、改めて削除を行いました。
そしてAvastclean使用後にXPを通常起動したところ、起動直後に「cinjpo.dat」が見つからないといったような内容の「Regsvrエラー」が表示されました。
そのままAvastを再インストールしてみたところ、先ほどの「制限ポリシー」エラーが出てしまい、やはり起動することは出来ませんでした、

その後、色々と調べた末、「Autoruns」というソフトを使い、起動直後にcinjpo.datにアクセスしようとするプロセスを停止させたところ、上記のRegsvrエラーは起こらなくなりました。
ただAvastはどうしても制限ポリシーエラーで起動出来なかったので、XPのシステムの復元を使い、二週間前の状態に戻したところ、Avastも正常な状態に戻りました。
その後、「Autoruns」で調べてみると、先ほどの「cinjpo.dat」にアクセスしようとするプロセスそのものが消えていました。
Avastでフルスキャンをかけてみたところ、何も異常は見つからず、今のところ問題なく動いているように見えるのですが、Avastが起動出来なくなってしまったのは、rootkit-genというウイルス(マルウェア?)によるものだったのでしょうか?それともウイルス定義ファイルの更新と何か関係があったのでしょうか?
現在の状態で何か行っておくべき検査や対策がありましたら、お教え頂ければ幸いです。何卒宜しくお願い致します。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #1 on: May 11, 2014, 04:28:06 PM »
こんばんは Masaa さん


恐らく、こちらの方と類似したトラブルかと思います。

avast!が起動できない
http://forum.avast.com/index.php?topic=148189.0

何かしらのマルウェアにより、設定が書き換えられた可能性が濃厚です。
システムの復元によりこれらの設定は元に戻されたと考えられますが、システムの復元を使っても、ファイルはそのままであるケースが多いです。
現時点でフルスキャンしても何も出ないということですが、念のため、上のリンク先でも紹介しましたツールでスキャンしておくことをお勧めします。

使い方の参考はこちら:
http://www59.atwiki.jp/malware_laboratory/pages/7.html
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #2 on: May 11, 2014, 05:59:26 PM »
NONさん、ご返答ありがとうございました。
教えて頂いたAnti-Malwareを早速インストールし、脅威スキャンをかけてみたところ「Trojan.Agent」に感染しているファイルが一つ見つかりました。
感染していたファイルは「Document and Settings〜(途中省略)〜Local Settings¥Temp¥i3WB.dll」で、隔離処理を選択したのですが、これは削除してしまった方が良いのでしょうか?

普段、Mac内のXPは殆ど使うことがなく、昨晩のrootkit検知以降はほぼオフライン状態で動かしていたのですが(オンライン状態は数分だったと思います)、Trojan.Agentが潜んでいたということは、何らかの実害が発生してしまっていると考えた方が良いのでしょうか?
またMacOSの方への影響というのは考えられるものでしょうか?

質問ばかりで恐縮なのですが、また教えて頂けると助かります。どうぞ宜しくお願い致します。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #3 on: May 12, 2014, 03:40:09 PM »
感染していたファイルは「Document and Settings〜(途中省略)〜Local Settings¥Temp¥i3WB.dll」で、隔離処理を選択したのですが、これは削除してしまった方が良いのでしょうか?
隔離しておけば動くことはありませんので、どちらでも構いません。

Quote
普段、Mac内のXPは殆ど使うことがなく、昨晩のrootkit検知以降はほぼオフライン状態で動かしていたのですが(オンライン状態は数分だったと思います)、Trojan.Agentが潜んでいたということは、何らかの実害が発生してしまっていると考えた方が良いのでしょうか?
またMacOSの方への影響というのは考えられるものでしょうか?
パラレルデスクトップとは、こちらの製品でしょうか?

Parallels Desktop 9 for Mac
http://www.parallels.com/jp/products/desktop/

BOOTCAMP等でパーティションを分割してMacとWindowsを使い分けている場合は、最悪の場合、パーティション構成そのものに手を加えられている可能性があります。
ルートキットの中には、自分専用のパーティションを作って、そこに潜む種類のものもありますので。

あくまで仮想マシンとしてWindowsを動かしている場合は、WindowsはMacから隔離された環境にありますので、Mac側に影響はないでしょう。


現状では、検出されたマルウェアがどういった種類のものなのか分かりませんので、具体的な実害の有無については正直何とも言えません。
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #4 on: May 12, 2014, 05:28:00 PM »
NONさん、ご助言下さいまして本当にありがとうございます。

パラレルデスクトップなのですが、NONさんの貼られているリンク先のソフトで間違いありません。(バージョンは少し古いですが)
パーティションを切らずに仮想マシンとしてXPを使っている状況です。
ただ仮想ネットワークのような形で、Mac〜仮想XP間でファイルを共有出来るフォルダが存在するのですが、ここを通じて感染してしまう可能性などはありますでしょうか?
avastでウイルスチェック済みのMP3ファイルを幾つか共有フォルダ経由でXPからMac側に移動させてしまったのですが...
Anti-Malwareで共有フォルダをスキャンしたところ、何も出てはいませんが何となく不安で気になってしまいます。

それと現在Anti-Malware内で隔離状態にあるマルウェアが、どういう種類のものなのか調べる方法はありますでしょうか?(まだ削除していません)
最初に検知&隔離されたrootkit-genはavastごと消してしまったようで後悔しているのですが、もし何か方法をご存知でしたら御教授頂ければ助かります。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #5 on: May 13, 2014, 07:24:59 PM »
〜追記です〜
昨晩の書き込みの後、これまでセキュリティソフトを入れていなかったMacの方にも、これを機にと思いAvast無料版をインストールしてみました。
早速フルスキャンしてみたところ何も検出されず、ちょっと安心出来ました。(LoveLetterや圧縮爆弾は見つかりましたが、NONさんがお答えになられてる過去ログを拝見させて頂いた感じですと問題なさそうですね)

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #6 on: May 14, 2014, 02:30:24 AM »
返信遅くなりました。

パラレルデスクトップなのですが、NONさんの貼られているリンク先のソフトで間違いありません。(バージョンは少し古いですが)
パーティションを切らずに仮想マシンとしてXPを使っている状況です。
ただ仮想ネットワークのような形で、Mac〜仮想XP間でファイルを共有出来るフォルダが存在するのですが、ここを通じて感染してしまう可能性などはありますでしょうか?
avastでウイルスチェック済みのMP3ファイルを幾つか共有フォルダ経由でXPからMac側に移動させてしまったのですが...
Anti-Malwareで共有フォルダをスキャンしたところ、何も出てはいませんが何となく不安で気になってしまいます。
MP3ファイル等の音楽ファイルやAVIなどの動画ファイルには、ファイル偽装という形を除けば、ウイルスが感染することはありません。
ファイル偽装であったとしても、Windows版の偽装ファイルはMacには通用しませんので、心配はないでしょう。

もし問題があるとすれば、共有フォルダ内のデータをWindows側のマルウェアが読み取ってしまった可能性ですが、共有フォルダに重要なファイルを置いていないのであれば、こちらも心配はないでしょう。

Quote
それと現在Anti-Malware内で隔離状態にあるマルウェアが、どういう種類のものなのか調べる方法はありますでしょうか?(まだ削除していません)
最初に検知&隔離されたrootkit-genはavastごと消してしまったようで後悔しているのですが、もし何か方法をご存知でしたら御教授頂ければ助かります。
隔離されたファイルをどこかに一時的に展開し、以下のようなウェブサイトで調べると、もしかすると手がかりがつかめるかもしれません。
ファイルを40以上のウイルス対策ソフトでスキャンし、結果を返してくれるサイトです。

Virustotal
https://www.virustotal.com/
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #7 on: May 14, 2014, 05:08:22 PM »
NONさん、何度もご返信頂いてしまってお手数お掛けしてます。

MP3などには感染しないものだったのですね。
幸い共有フォルダの方にも何も入れていなかったので、感染4日目にして、ようやくほっと出来ました ;D

それと教えて頂いたVirustotalのサイトを覗いてみたのですが(既に過去ログでお答えになられてたようで、自力で探しておくべきでした)ファイルをアップロードする際に、anti-malware内に隔離されているウイルスをまた元に戻しても悪さを働くことはないのでしょうか?ウイルスの仕組みを良く分かっておらず、心理的に抵抗があるのですが……。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #8 on: May 15, 2014, 04:10:16 PM »
ファイルを展開する場合には、そのまま展開してもすぐにavastによって隔離されてしまいますので、一時的にavastを止めて抽出するか、あるいは専用の除外フォルダを作成してそこに展開することになります。
なお、ファイルを展開する際に、「復元」を選ぶと同じところに復元されてしまい、もしウイルスの起動コマンドが残っていた場合、ウイルスを起動してしまう可能性があります。
従って、展開する場合には「復元」ではなく「抽出」を選べば、任意の場所に展開できます。

多くのウイルスは、基本的には、実行しない限り発動することはありません。
ごく一部、ファイルを表示する(ファイル一覧を表示する際にアイコンが読み込まれる)だけで発動するウイルスがいますが、Windowsの更新が行われていれば、心配はないでしょう。
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #9 on: May 16, 2014, 04:59:28 AM »
こんばんは、度々すみません、Masaaです。
もはやAvast関連の質問ではなくなってしまっていて恐縮なのですが、現在ウイルスを隔離しているのがAvastではなくAnti-Malwareの方でして、見てみたところAvastと違って抽出ボタンがなく、復元ボタンと削除ボタンしか見当たりません。
この場合はやはり元の位置に戻すしか選択肢はないのでしょうか?

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #10 on: May 17, 2014, 09:26:51 AM »
勘違いしていました、すみません。

確認してみましたが、MBAMの「復元」ボタンは、元あった場所にファイルを復元する機能しかないようです。
問題のファイルを調べる場合には、復元はやむを得ない気がします。
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #11 on: May 17, 2014, 11:50:41 AM »
NONさん、おかげさまで状況が進展しました。

思い切ってAnti-Malwareに隔離されていたウイルスを復元した瞬間、Avastが検知して捕まえてくれましたので(以前反応しなかったのは定義ファイルが最新ではなかったからなのでしょうか?)、NONさんがお書き込み下さったAvastでの抽出方法に従って、Virustotalにウイルスを送信することが出来ました。結果は以下のリンクになります。

https://www.virustotal.com/ja/file/b1e25d80f8cb5890f938c57a009ec09520699ca29bf825344b9c1816a042e265/analysis/1400315965/

検査結果のページを見ても、天使と悪魔のメーターで悪魔側にー35ポイント傾いているという部分しか理解出来ないのですが、この結果はどのように受け止めれば宜しいのでしょうか?
やはりこういったケースではリカバリーした方が無難なのでしょうか?
またご助言頂けると助かります。どうぞ宜しくお願い致します。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #12 on: May 17, 2014, 01:48:11 PM »
思い切ってAnti-Malwareに隔離されていたウイルスを復元した瞬間、Avastが検知して捕まえてくれましたので(以前反応しなかったのは定義ファイルが最新ではなかったからなのでしょうか?)、NONさんがお書き込み下さったAvastでの抽出方法に従って、Virustotalにウイルスを送信することが出来ました。結果は以下のリンクになります。

https://www.virustotal.com/ja/file/b1e25d80f8cb5890f938c57a009ec09520699ca29bf825344b9c1816a042e265/analysis/1400315965/
現在はavastでも対応されたようですね。定義ファイルが更新されたということでしょう。

Quote
検査結果のページを見ても、天使と悪魔のメーターで悪魔側にー35ポイント傾いているという部分しか理解出来ないのですが、この結果はどのように受け止めれば宜しいのでしょうか?
ウイルス名を元にして何か分かるかと思いましたが、残念ながら決め手にはなりませんでした。
ただ、いくつか「Ransomlock」とか「Blocker」とかの名前が見えます。これらはPC上のデータを暗号化してしまい、解除したければ金よこせ、という類のウイルスに付けられる名前です。

実際にそういう状況になっていないところを見ると、avastがRootkit-genをブロックしたために十分な破壊活動が出来ず、感染が中途半端なままになっていた、というのが考えられる状況だと思います。

Quote
やはりこういったケースではリカバリーした方が無難なのでしょうか?
気になる場合にはリカバリすることをお勧めしますが、その場合でも仮想マシン内のWindowsだけで大丈夫です。
現状ではavastでは他に何も検知されていないようですし、Windows側で大したことをしないのであれば、そのままでも構わないかと思います。
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Masaa

  • Guest
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #13 on: May 17, 2014, 03:13:50 PM »
早速ご返信ありがとうございました。

最初にAvastが検知してくれたのが効いてたのですね :D
感染して以来、空いた時間は分からないなりに調べ通しだったので、NONさんのご推測を聞いて、解放された気分になりました。
他の幾つかのセキュリティツールも使いスキャンしてみたのですが、今のところ何も出てこないので、リカバリはせずにこのまま使ってみようかと思います。

実は今回初めてのウイルス感染で、あまり整理もつかないまま質問すべきか、それとも自力で解決すべきか迷っていたのですが、ここまで御親切に助けて頂けて、本当に投稿してみて良かったです。
NONさんには頼りっきりになってしまいましたが、約1週間にも渡って毎日のように色々教えて下さいまして(それもAvast関係以外のものまで)本当にありがとうございました。
またお世話になってしまうことがあるかもしれませんが、その時は何卒宜しくお願い致します。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5234
  • Whatever will be, will be.
Re: rootkit-genとAvastの制限ポリシーについて
« Reply #14 on: May 17, 2014, 06:33:35 PM »
とりあえず一段落ついたようで良かったです。

何もトラブルがないことを願いますが、もしまた何かありましたらお越しください :)
Main: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 22 Premium Beta(Icarus) / Comodo Firewall
Mobile: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 8GB RAM / Avast 22 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。