3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援→開発戻り浦島太郎状態の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。

フィッシングサイトからルートキットに感染

先日勤め先の他部署のPCがルートキットに感染しました。

ESETの名称で Win32/Rootkit.Kryptik.AF というやつです。

system¥Driver 配下のファイルがほとんどやられていました。

Rootkitの場合は、削除が困難なので、再セットアップした方が無難ですね。

感染元を調べていると、http://188.124.5.136/ ということが分かりました。

このサイトのPHPにパラメータを与えて、いろいろ動作を変えているようです。

今回は、in.php?affid=36400&url=5&win=Windows%2520XP%2B2.0&sts= というパラメータがくっついていました。

このIPで調べると、main.php?land=20&affid=01903 というパラメータで感染報告がありました。

調査するとここ最近出現したフィッシングサイトのようです。

アクセスすると英語でウイルスに感染してるぞ!というようなダイアログや、ウイルス発見された!てきた画像が表示されたりします。

これで、こちらがアクション起こすとインストールしちゃうんでしょうね。

aguseで調べると、トルコにホスティングされているようです。

フィッシングに対する教育もユーザにちゃんとしとかないと今回のようにだまされて逆にウイルスやルートキット仕込まれることがあるということですね。