ブログ - メモリーを食い尽くすウィルス
やられました…orz
ウィルスに…( ̄_ ̄|||)どよ~んorz
と。落ち込む暇もなく!おりゃ~と対策を練るのですが^^
管理しているサーバーの1台に進入を許してしまった私です。orz
感染ファイルは
kill.batとpysql.exeのセットものと…
hkcmd.exeの実行コマンドユーティリティー
DonvertOther.exeとDonvertH.exeの二種
感染経路は外部侵入、当然FTPやTELNET、WEBも公開してますので^^;
進入口は開いている状態ですから^^;
まぁ当然なのですが。
まず、これらのファイルはウィルス検索で引っかからないですね。
pysql.exeは…正統な完全型実行ファイルでこいつ本体は何もしません。タスク中に常駐するだけです。
スパイウェア、アドウェア、トロイの木馬、ルートキット、ワーム、情報スチロース、キーロガー、ボット、PC上に常駐その他の脅威悪意のあるフォームのお手伝い役
kill.bat はpysql.exeを常駐そして実行のバッチファイルのようです。ご丁寧にhkcmd.exeコマンドユーティリティーまで付けてくれてます。
hkcmd.exeは削除しても自身をb.exe,c.exe,d.exeと分離しhkcmd.exeを出現させます。
hkcmd.exeはcmdでpysql.exeを外部から実行。常駐させます。
kill.batの内容は
:redel
del C:\/pysql.exe"
if exist C:\/pysql.exe" goto redel
del %0
となっています。最終的に足跡も残さないようなっていますね^^;
(あと構文が間違っているので残ってしまった可能性も^^正しくはdel "C:\pysql.exe"です^^)
でもこの場合、削除変数が無い場合ループするだけなのでメモリーを食い尽くしたところでThe end
最近のサーバーはCPUが8個もありバックグラウンドで動くため、バッチファイルでするってのも時代物だと思います。
8個のうち1つでもCPU稼働率100%になった瞬間にログが残りますから^^;
まぁ。それで私にも気が付かれたのでしょうが^^;
DonvertOther.exeとDonvertH.exeはバイナリーダンプすると何をしようとしていたのかが分かりますので…(・∀・)ニヤニヤ!
想像はつきますが…キーロガーかボットくさい
16:42発生、対策時間40分orz
監視を始め、お待ちしているのですが…もう来てくれませんね(´・ω・`)ションボリ
サーバー内には大した物がございませんが…