トロイの木馬駆除
今週のとある日フォーバルさんより連絡があり、御社のマシンよりspamメールが送られているとのことで一台一台netstatで調べてみる。ophcrackとか便利だよね
(ネット部分はucom.ne.jpなのでOP25Bはない)
netstatすると
smtp ESTABLISHED
出ていたのでやられているマシン確定
Microsoft Security Essentialsでは除去できなかったので
最近無料で使えるようになったAVG Rescue CDからbootable USB作成して、USBより起動でscanかけて削除。DHCP自動で取得してパターンファイルアップデートとかするからいざというときのために1個作っておくのがお勧め。
検出はこんな感じ。情報なさすぎて参った。
(クリーンインストールかとか思ってたけど)
AVG Rescue cd
trojan horse Rootkit-Agent.EG
Microsoft Security Essentials
Winnt/Bubuix.gen!A
SPAMメールをがりがり送っていたようなので dnsbl 登録されていた。
後日フォーバルの方がわざわざ来社されて状況などの話をした。
x b.barracudacentral.org
x cbl.abuseat.org
x dnsbl-1.uceprotect.net
x psbl.surriel.com
x ubl.unsubscore.com
に登録されていた
登録されていたが翌日解除されていた。
ix.dnsbl.manitu.net
bl.spamcop.net
さて解除用の英文メールでも起こさないと…