マルウェア Control Center
- カテゴリ:パソコン/インターネット
- 2011/06/19 06:22:05
以前、Control Centerというウイルスっぽいのに感染した時は驚き、絶望し、どうやって対処すればいいのか混乱しました。
パソコンを起動するとControl Centerに乗っ取られ操作が一切出来なくなる、というハメ技みたいなマルウェアで、これの作成者は高い技術力を持っているのでしょう。
パソコンが操作不能ではネットで情報を探すことも出来ずお手上げです。
古いパソコンを引っ張り出して、ネットの情報を探しても「削除ツールを買いましょう」などと馬鹿な対処法を紹介するばかりで役に立ちません。
パソコン起動直後に 新規ユーザー でログイン→システムの復元→本来のユーザーでログイン→agent.exe、ccagent.exe、cc.exe、uninstall.exeのプロセスを終了→”*Control
Center"を検索してフォルダを削除
パソコンは簡単で誰でも使えると言いながら、実際トラブルが発生したら自分で対処せねばならず、テレビショッピングなんかで「お年よりも安心」みたいな感じでパソコンを売っているのを見ると、「なんでやねん」と突っ込みを入れねばならないのです。
引っ張ったドキュメントだと、シェルのリプレースが入ってるので、確かにとめるだけでは自由に使えませんね。
自分が見たのは、
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%UserProfile%\Application Data\CC\cc.exe"
これが無い亜種か、正常に処理されず書き込まれなかったようです。エントリとして記載が無いドキュメントもあるので、亜種もあるような気がしますが、この点においては「速度で勝てばなんとか」は確かに成立しないです。
正しいシェルが定義されていませんから、処理を取り戻すには、きちんと書き換えてやる必要があります。
ただ、資料の読み方としては、書き込まれているエントリが、HKCUの自動実行のエントリとシェル定義であるということだけが重要なことであって、それ以外の記述は今回においては蛇足です。
これによって「感染させた」ユーザ固有の問題であると定義できるわけですから、セーフモードで、Administratorアカウントなり、別アカウントなりで、エントリを確認して修正すれば話は済むといえます。
少なくとも「影響が限定される」時点で絶望なんて無いっていう話ですし、「システムとして提供される自動実行の仕組み」をフックされる程度で「高い技術力」なんて相手を過大評価することは正しくないと思うのですよ。
ゲームのデータの改造もまともな最近のアプリケーションだと、出力データはチェック入りだったり加工されてますし、プロセスエディタからの干渉は別スレッドから監視が入ってますけど?それが簡単って思える人なら他人の書いたコードを簡単に読めるわけですし、そんなにハードル高いと思わないんですが。
マイナーなエントリじゃなくて、チューニングツールや、msconfigが参照、定義するメジャーなキーですし、ヤラレタって思ったときには、「入られる余地」を考えれば多分答えは出ます。
http://ameblo.jp/pc-beatwave/entry-10482241636.html
ロールバックなしでもちゃんとやってる人も居ます。
バイナリじゃないんで、わかる気があるかどうかだと認識してます。
コントロールセンタを停止すると、そこにはショボイ壁紙を貼っただけのデスクトップしか表示されておらず、タスクバーも何も出ないのですからレジストリエディタを呼び出す方法がないです。
ウィンドウズキーも反応しないし。
また、それができたとしてもレジストリの何を変えればどうなるのかも分かりません。
ゲームのデータを改造するのと違って、レジストリは良く分からないです。
こんななんで。思い切りお約束の場所にお約束の設定がされてます。
自分の周辺の人間が踏んだならシステムの復元以外のアプローチをとります。
キーの実行タイミングとプロセスの起動完了のタイミングは違います。
その思い込みもまた、狙われてる錯誤のひとつです。
やってみれば意外と早く応答することが確認できるはずです。
まぁ、方法論としてはレジストリからバイナリのパスを洗い出して先にファイルを始末して置くのが望ましいですよ。
別に無理に競争する必然性もありませんが、手も足も出ないなんてことはないし、競争すれば勝てる程度の悪戯ですよってそういう話です。
ただ、この程度ならシステムの復元が不整合起こすことのほうが地雷の可能性高いかなぁと思います。
作業者しだいなんですけどね。
シムシティの原発事故シナリオだったら、事故が起こる直前に対処するところですが、いかんせんパソコンの起動中、エクスプローラ起動前にタスクマネージャーを動かせますかね。
でもきちんと起動の仕組みを理解していれば、止められます。破壊が無く、その程度のいたずらならね。
まぁ、見つかり次第セキュリティーホールを利用してシステムに入り込む辺りは無駄に頑張ってるなぁとおもいますが、ベンダが認識、対処する前じゃなければきちんとアップデートすることで多くの場合防げます。
実際にはシステムの起動は処理が集中するので、当然「奴」の起動にもタイムラグが存在します。
ですから、よほど小型で、優先順位が高く起動されない限りは落とすチャンスは今出回ってる程度のPCならちゃんとありますから、きちんと落ち着いてタスクマネージャで対象を叩き落せばどうにでもできます。
厄介なのは「自分が起動されると困るもの」を起動しようとしたときに抑止されることですから、それさえ止めてしまえば後は餅は餅屋。セキュリティーツールの類に頑張ってスキャンしてもらえばいいのだと思います。
というより、止められた程度で終わったと思うことが危険で、何かの小細工や、置き土産が無いかを確認するためにも止めた上できちんとスキャンすることが大事です。
別ユーザで、影響がないのなら、それの実行キーはユーザプロファイルに設定されています。
だったら、HKEY_USERSを漁れば実行されているプロセスは探せますので、先に場所を割り出してファイルを消してしまうという手もあります。
置き土産があることもありますし、あくまで次の手を打つための手段ですから「駆除の完了ではない」のですが、動作を理解することは面倒ごとから自分を守ることでもあります。
ま、買ったばかりの人にやれってのは酷ですが、そこそこの期間使ってる人にとっては絶望するほどの威力は無いです。
ろぷ☆びぎなーさん:エクスプローラーが使えないとお手上げですよ。
VAMBRACEさん:ロールバックは厄介ですがまず使える状態にしないと何も出来ないです。
DOLCEXさん:いつ、どこで感染したかも分かりません。
TAKAKOさん:年配じゃなくても難しいです。
済みませ~んてかけ込むとおもいますww
Control Centerというマルチウェアですかぁ(^-^;
自分もサポートしている人も感染してないので判りませんが、大変でしたねぇ(^-^;
マルチウェアの削除は慣れるとすぐに対処できるので、経験積んだと思えばいいと思います。^^
起動して他のプロセスが起動することを抑制しているだけなので、黙ってもらえばどうということはない。
最初に起動するから、ぬぼーっとご丁寧にシステムが上がるのを待ってると処理を持ってかれる。
デスクトップが応答する辺りで、さっさとタスクマネージャを起動して叩き落せばいいのだけど、Safemodeでもいいんじゃないかと。
レジストリをいじるのがいやなら、MS Configでも用は足りる。どうせやることは同じ。
システムの復元は、ロールバックされると困るものまでロールバックされてしまうので、安易に使うのは地雷を踏むこともあるような気がするのですよね。
説明は楽で、誤操作は少ないですが。
大変でしたね(・_・;)
なおったみたいでよかったですね☆
Macの場合は起動HDを複数台あれば切り替えできるので
問題のあるOSのHDを別のHDで起動して問題解決しますの。
データは別HDに保存してるので
HDフォーマット→OS入れ直し
年配の方には難しいんでしょうね^^;