先日勤め先の他部署のPCがルートキットに感染しました。
ESETの名称で Win32/Rootkit.Kryptik.AF というやつです。
system¥Driver 配下のファイルがほとんどやられていました。
Rootkitの場合は、削除が困難なので、再セットアップした方が無難ですね。
感染元を調べていると、http://188.124.5.136/ ということが分かりました。
このサイトのPHPにパラメータを与えて、いろいろ動作を変えているようです。
今回は、in.php?affid=36400&url=5&win=Windows%2520XP%2B2.0&sts= というパラメータがくっついていました。
このIPで調べると、main.php?land=20&affid=01903 というパラメータで感染報告がありました。
調査するとここ最近出現したフィッシングサイトのようです。
アクセスすると英語でウイルスに感染してるぞ!というようなダイアログや、ウイルス発見された!てきた画像が表示されたりします。
これで、こちらがアクション起こすとインストールしちゃうんでしょうね。
aguseで調べると、トルコにホスティングされているようです。
フィッシングに対する教育もユーザにちゃんとしとかないと今回のようにだまされて逆にウイルスやルートキット仕込まれることがあるということですね。