2010年4月10日

トロイの木馬駆除

今週のとある日フォーバルさんより連絡があり、御社のマシンよりspamメールが送られているとのことで一台一台netstatで調べてみる。ophcrackとか便利だよね
(ネット部分はucom.ne.jpなのでOP25Bはない)

netstatすると
smtp ESTABLISHED
出ていたのでやられているマシン確定

Microsoft Security Essentialsでは除去できなかったので
最近無料で使えるようになったAVG Rescue CDからbootable USB作成して、USBより起動でscanかけて削除。DHCP自動で取得してパターンファイルアップデートとかするからいざというときのために1個作っておくのがお勧め。

検出はこんな感じ。情報なさすぎて参った。
(クリーンインストールかとか思ってたけど)

AVG Rescue cd
trojan horse Rootkit-Agent.EG

Microsoft Security Essentials
Winnt/Bubuix.gen!A


SPAMメールをがりがり送っていたようなので dnsbl 登録されていた。
後日フォーバルの方がわざわざ来社されて状況などの話をした。


http://dnsbl.info/

x b.barracudacentral.org
x cbl.abuseat.org
x dnsbl-1.uceprotect.net
x psbl.surriel.com
x ubl.unsubscore.com
に登録されていた

登録されていたが翌日解除されていた。
ix.dnsbl.manitu.net
bl.spamcop.net

さて解除用の英文メールでも起こさないと…

スポンサーリンク



  • follow us in feedly