masalibの日記

システム開発、運用と猫の写真ブログです

マルウェアの状況と駆除について

f:id:masalib:20150810221523p:plain

概要

そもそも感染するなよ
という突っ込みは聞きません
マルウェアにかかった時の対応を記載します

マルウェアとは

ポップアップ広告が繰り返し表示されたり、
ホームページの設定が変更したりするプログラムです
ウィルスほどの脅威はないですが
そこからさらにウィルスにかかる可能性が高いです

経緯

フリーウェアをインストールしていると
いつのまにかマルウェアに感染していた
セキュリティソフトはいれていたのですが
なぜかスルーされた
ソフトをインストールしすぎてどのソフトで感染したのか
わからない状態になってしまった

状態

リンクをクリックすると別ウィンドウが立ち上がり
本来とはちがうページに遷移したり
別のページの例
f:id:masalib:20150810220630p:plain

商品のページによくわからない
アフィリエイトのタグが表示されたりします
リンクが表示された例
f:id:masalib:20150810220602p:plain

うざいな~!!

対応

1・googleがつくったクリアップツールを実行するwww.google.com
ダウンロードしてチェックすると削除してくれます

2・マルウェアの駆除ツールmalwarefixes.com
ダウンロードしてチェックすると削除してくれます
なぜかPCの再起動が強制的にはしります

3・hostsファイルを修正する

マルウェアは特定のドメインjavascriptを実行している事が
多いのでchromeデベロッパーモードで確認する
(シンプルなHTMLのサイトで確認するのがベターです)
シンプルなサイトの例
http://www.nomadworks.co.jp/htmlsample/download.html

f:id:masalib:20150810221019p:plain

<script type="text/javascript">_BIT_LocalStoreDetails="{eyJpbnN0YWxsZXJfbmFtZSI6Im5vbmUiLCJ0b29sYmFySUQiOiJub25lIiwicHJvZHVjdF9uYW1lIjoiRXh0bGVzcyIsImNoYW5lbElEIjoiIiwiaW5zdGFsbF90aW1lIjoiIiwicHJvZHVjdF92ZXJzaW9uIjoiOS4wLjAuMCIsInB4bF9EQVVHQVZfZGFpbHlQaW5nIjoiZGFpbHlQaW5nfHx8MTQzOTI1ODEwMDM2NCJ9}";</script>
<script id="_SFR_xl" src="http://cds.q2u3z6t7.XXXX/daugav/js/preload.js?tbid=256663a468f84320adc3fc18ed61ef92&chnl=pils&prd=daugava&ind=31-07-2015&ver=2.0.0.701&drv=0"></script>

上記のsrcの部分のドメインをコピーして
Hostsファイルを修正する(詳細は下記のサイトを参考に)negiwatch.jugem.jp

修正内容は以下のとおりです

127.0.0.1       cds.q2u3z6t7.XXXX

localを指定しています。ローカルなら迷惑にならないので

これだ今のところ、マルウェアを駆除しました
1、2,3とやってきましたが
普通は1と2で大丈夫のはすです

失敗な人はちゃんとした
セキュリティ会社にみてもらった方がいいです