ウイルスに感染しました(;´Д`)

ウイルスに感染しました(;´Д`) ウイルスに感染しました(;´Д`)

世間は某ウイルスの話題で持ちきりですが遂にウイルスに感染して了ひました。しかも對症療法が何とかなるレベルではありませんでした(;´Д`)

あ、私ではないです。ウチのPCの話です。

私のネット環境はLinuxだから皆無とは言はないけどウイルスに感染する確率は極めて低いんですけどね。どーしてもWindows用の特定の舊バージョンソフトを使わなければならない作業があったもんで、それ用の舊バージョンを探してDLしたわけです。

ウチのWindows環境がXPまでしか無いもんだから現行バージョンはインストールで蹴られるんですな。かと言ってXP對應のバージョンで作業するとバージョンが古いとエラーが出るわけで。

XPに導入可能で且つその作業に適合するバージョンを見つける爲に舊バージョンを追っ掛けながら10種類以上試したわけですが、その中の一つがウイルスだった樣です。

私の所にウイルスやマルウェアの類が入って來るってこのパターンしか無いんですけどね。ネット接續がLinuxでもDLしたソフトウェアをWindows上で實行しないといけないわけだから困ったもんです。Windowsの世界って安心して使へないですねぇ。

そのソフトってJavaなんですけどね。公式サイトが個人情報を入力してアカウント作れと要求して來るのが鬱陶しかったんで舊バージョンをサルベージしてるサイトから各バージョンを探し廻りました。確かに公式サイトからだったらウイルスに置き換へられてる事は無いと思ひますが……今後アカウント要求する所が必要だったらSawney Beanとでも書いたろか。

JavaだったらLinux用Javaを入れてLinux上で作業すれば…とも思へるんですが、文字コード絡みで正しく變換できなかったら困るので作成者が動作確認してるWindows環境で實行しました。

で、各バージョンのインストール可否檢證中に突然エラーが出始めたわけです。取り敢へず作業を中斷して再起動するとhal.dllのエラーで起動不能に。本命の作業は別のPCで續行できたので作業終了後にトラブルの檢證をしてみました。

hal.dllが原因となるトラブルに於いてはdllそのものが壞れてゐる事は殆ど無くboot.iniファイルやハードディスク自體のトラブルに起因すると説明される事が多い樣です。しかし、Linux側からWindows區劃にアクセスしboot.iniを開いても問題は見られませんでした。ハードディスクのトラブルに關してもLinuxからは問題無くアクセスできます。

そこでhal.dllを正常起動する環境から移植してみましたが必要なdllが見つからない旨のメッセージが現れ起動しません。しかし、移植しない元のhal.dllに戻すとhal.dllが壞れてゐる旨のメッセージが表示されます。となると、單純にhal.dll自體が壞れてゐるだけでなくhal.dll以外の所も關聯してゐると考へられます。

正常なhal.dllと壞れたとされるhal.dllを比較してみると正常な方は132KB、壞れたとされる方は188KBありました。明らかにおかしいです。こんな時はバイナリダンプします。その結果がこちら。

先頭と末尾に2ch掲示板で使はれるAAがあります。更に見ると20 20 20 20 20と續く中に所々0D 0Aとあります。前者は半角スペース、後者は改行(CR+LF)のコードです。これで正體が判明しました。擴張子を.dllから.txtに變更するとあっさりとテキストエディタで開けます。

つまり、惡意のあるプログラムが正常なhal.dllを擴張子をdllとした同名のテキストファイルに置き換へたわけです。WindowsXP SP3の部分はOSのインストール時に登録したユーザ名が入る樣です。しかも正常なhal.dllを移植してもシステムが起動しない事から他の所を調べてみると、C:¥WINDOWS以下にあるdllが悉く188KBになってました。バイナリエディタで開くと中身は同じです。C:¥Program Files以下にあってC:¥WINDOWS以下に同じ名前を持つディレクトリ下のdll群も同樣でした。

Javaのインストーラを裝ったウイルスは實行後にバックグラウンドで次々とdllを書き換へてた樣です。私が途中で作業を中斷したからでもしかしたら他の階層も片っ端から書き換へるのかも知れません。實行からエラーまでのタイムラグは使用中のdllが書き換へられるまでの時間と思はれます。この時はインストールしたJavaのバージョンを確認しながらテキストエディタでメモを取ってました。その入力に使用してゐるIMEのdllが書き換へられた事でエラーが表示された樣です。

本命作業終了後、問題のあるシステムのHDDを正常起動するXP機に外付けとして接續しXPでネット接續してウイルススキャンソフトで檢査してみました。やりたくないけどデータベース照合でネット接續を要求されますしLinuxで動作してWindows區劃のWindows用ウイルスを檢知するソフトって無いですよね？結果、それらしい物は検出されませんでした。Javaインストーラ自體は削除してたからドライブ内にはコピーされてないって事ですかね？ただ、C:¥WINDOWS以下のdllを書き換えるウイルスに關する情報を探してみてもそれらしいものが見當りません。かなり古い2chのAAが使はれてる事からそれなりに古いウイルスだと思ふのですが。

トラブルとしてはOSが起動しなくなっただけなので再インストールすれば解決します。トラブル時を考慮してHDDのシステム區劃にはOSと幾つかのアプリケーションとツール類程度しか入れないので。餘計な手間を増やしやがって、ってのはありますけど片手間でやって一日掛からない作業です。

Windowsはオフライン專用にしててネットはLinuxで接續してるのにオフライン作業で必要なWindowsアプリケーションがウイルスだったらたまらんよなぁ。まぁ今回みたいにどーしてもWindows用の特定の舊バージョンが必要なんて數年に一回あるか無いかの事ですが。

にしても、調べても情報が出て來ないdllの書き換へって何なんですかね？もしかしてhal.dllが理由のエラーが出るとboot.iniとかHDDのハードウェア的トラブルとか思ってるからこんな細工が仕込まれてると考へつかないとか？誰かこのウイルスの情報知りません？

(23/07/2680)