ブログ - メモリーを食い尽くすウィルス

メモリーを食い尽くすウィルス

カテゴリ : 
MUTTER
執筆 : 
PC_rescue 2011/2/1 14:25

やられました…orz
ウィルスに…( ̄_ ̄|||)どよ~んorz

と。落ち込む暇もなく!おりゃ~と対策を練るのですが^^
管理しているサーバーの1台に進入を許してしまった私です。orz

感染ファイルは
kill.batとpysql.exeのセットものと…

hkcmd.exeの実行コマンドユーティリティー

DonvertOther.exeとDonvertH.exeの二種

感染経路は外部侵入、当然FTPやTELNET、WEBも公開してますので^^;
進入口は開いている状態ですから^^;
まぁ当然なのですが。

まず、これらのファイルはウィルス検索で引っかからないですね。
pysql.exeは…正統な完全型実行ファイルでこいつ本体は何もしません。タスク中に常駐するだけです。
スパイウェア、アドウェア、トロイの木馬、ルートキット、ワーム、情報スチロース、キーロガー、ボット、PC上に常駐その他の脅威悪意のあるフォームのお手伝い役

kill.bat はpysql.exeを常駐そして実行のバッチファイルのようです。ご丁寧にhkcmd.exeコマンドユーティリティーまで付けてくれてます。
hkcmd.exeは削除しても自身をb.exe,c.exe,d.exeと分離しhkcmd.exeを出現させます。

hkcmd.exeはcmdでpysql.exeを外部から実行。常駐させます。
kill.batの内容は
:redel
del C:\/pysql.exe"
if exist C:\/pysql.exe" goto redel
del %0
となっています。最終的に足跡も残さないようなっていますね^^;
(あと構文が間違っているので残ってしまった可能性も^^正しくはdel "C:\pysql.exe"です^^)
でもこの場合、削除変数が無い場合ループするだけなのでメモリーを食い尽くしたところでThe end
最近のサーバーはCPUが8個もありバックグラウンドで動くため、バッチファイルでするってのも時代物だと思います。
8個のうち1つでもCPU稼働率100%になった瞬間にログが残りますから^^;
まぁ。それで私にも気が付かれたのでしょうが^^;

DonvertOther.exeとDonvertH.exeはバイナリーダンプすると何をしようとしていたのかが分かりますので…(・∀・)ニヤニヤ!
想像はつきますが…キーロガーかボットくさい

16:42発生、対策時間40分orz
監視を始め、お待ちしているのですが…もう来てくれませんね(´・ω・`)ションボリ
サーバー内には大した物がございませんが…

 

  • コメント (0)
  • トラックバック (0)
  • 閲覧 (4838)

トラックバック

トラックバックpingアドレス http://pc.rescue.co.jp/modules/blog/tb.php?49