SCtri,Z8G5Q3D3N2S9,K4E3C2V7X1Q7

Posted by joeartsea on 2009-02-06

2月5日木曜日の朝、顧客がファイルサーバ(Windows Server 2003)にアクセスできなくなりました。リモートログインもできない。かろうじて1台だけログインできサービスとシステムディレクトリを確認すると見たこともないSCtri.exeというのが動いていました。更にこれまた見たこともないC:K4E3C2V7X1Q7.exeというファイルができていました。同時刻にC:NETLOGON.CHGも書き換えられています。

すぐさま検索すると[Security]○ymantecで検出されないウィルスを発見、対処を発見。今日の日付だ…最新型のウィルス…未知の脆弱性をつくのかどうなのか…そんなことよりとりあえず復旧しないと。リモートで入れないので現地に行くしかない。急遽大阪への新幹線に飛び乗る。

到着後、セーフモードで起動後タスクマネージャでSCtriサービスが動いていないことを確認してからC:windowssystem32driversSCtri.exeを削除。次にレジストリエディタでSCtriを検索して片っ端から削除。しかし2つほど削除できず。次にService C**ontroler** Installerを検索して片っ端から削除。これも幾つか削除できませんでした。ここまでは前述のブログのとおり実行しました。

しかしウチの場合、前述のブログで最後にタチが悪いと言ってるZ8G5Q3D3N2S9.exeと良く似たファイル名のK4E3C2V7X1Q7.exeというファイルが既に生成されています。とりあえずK4E3C2V7X1Q7.exeもセーフモードで削除しました。ちなみにZ8G5Q3D3N2S9.exeとK4E3C2V7X1Q7.exeはトロイらしいです。

そしてトレンドマイクロのオンラインスキャンと既に入っているマカフィーのウィルススキャンを同時に実行しながらリモートログインとファイル共有の動作確認。リモートでログインできるようにはなりましたが共有ディレクトリにアクセスできません。どうやらSCtriかK4E3C2V7X1Q7.exeによっていろんなものが書き換えられたらしい。こっからは本当に未知の作業。

そうこうするうちにウィルススキャンが終了。残党のトロイとワームを数種発見。ウィルススキャンによってC:windowssystem32sfc_os.dllを書き換えた形跡が見つかったのでsfc_osについて検索。どうやらワームが書き換えたことが判明。K4E3C2V7X1Q7.exeなどが生成された日時と同時刻に変更されてます。

WORM_SDBOT.AEWを見てワームが書き換えたものを戻していきます。特にHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaのRestrictanonymousは共有ファイルのアクセスに重要なレジストリ値。通常の値0に戻しました。しかし最後のsfc.dllとsfc_os.dllのcopyはセーフモードなのに何かが掴んでいてアクセス拒否されます。

あきらめて再び共有ディレクトリへのアクセスを試しましたがRestrictanonymousを0にてしても解決せず。しかしRestrictanonymousは間違いなく0にしないといけないのでこの変更はこのままにしておきます。多分もっと他のところが変更されているせいです。しかしそれがなかなかわからず時間だけが過ぎていきます。

数時間後、会社の上司から対応策が来ました。ユーザー権利 “ネットワーク経由でコンピュータへアクセス” の設定により各種ツールが動作しなくなるの解決方法を実行。「SeDenyNetworkLogonRight= の行を確認します。SeDenyNetworkLogonRight= 以降の行をすべて削除することが必要な場合があります。」というのは今回やらなくても大丈夫でした。

これをやった後、グループ ポリシーエディタでAdministrators、Enterprise Domain Controllers、Everyoneを追加して再起動したら共有ディレクトリへのアクセスできるようになりました。ただし幾つか削除できなかった箇所、書き戻せなかった箇所があるため再び不具合が起こる可能性は充分にあります。来週また大阪にいる気がしないでもないです…