今日はちょっと出来心で(w)、Limewireなどを使って遊んでみたのですが、まぁ色々なファイルが検索出来て面白い面白い。まぁ普通なら音楽ファイルとか動画を落として満足しちゃうんでしょうが、もっと面白いもん無いのかよ?と思いながら調子に乗って怪しいファイルを落としてしまいました。
一応アンチウィルス系のソフトで調べた後に開いたのですが、TeaTimerがレジストリ変更を検出して、あややマズイかも。レジストリ書き換えを遮断し続けていたのですが、しつこくTeaTimerが攻め続けられてついには落ちてしまいました..orz あかーん、どうやらレジストリを書き換えられた模様。最近バックアップは撮ってないから調べるしかないよ。
とか思いつつ、処理が重くて鬱陶しいのでLimewireを終了させてレジストリを調べようかなと思って驚きました。落としたハズのLimewireが勝手に起動する。え?マジかよ。って事はレジストリだけじゃなくて常駐されたな。すかさずタスクマネージャでチェックしてみたところ、svchost.exeの起動が多くないか?svchost.exeは直ぐに騙られるから怪しさプンプンだ。しかも権限がユーザー権限(自分のアカウント)になってるじゃん。SYSTEM、LocalService、NetworkServiceは覚え有るけど、ユーザー権限って見たこと無い。絶対に怪しいっ。オマケにLimeWireの設定画面を英語モードにして開こうとすると強制的にすぐ閉じられる。明らかに意図を感じる。プロセスを落としてからLimewireを終了させたらやっぱり上がって来なくなった。ほぼ確信犯。手動で上げてから設定画面を開けばちゃんと開くことが出来る。日本語モードだとはみ出してて使い物にならないんだよね。LimewireってPro版は有償だけど、そっちはバグ取ってるんかな?とりあえず状況は把握できた。
しかし、まだしっぽを捕まえた位で、まだ正体はよく分からないぞ。ああー余計なことしてもうた。調査するのにどれくらい時間を要するのだろう...
仕方ないので、普段は別に使ってないけれど、「Process Explorer」を起動させて正体を突き止めることにした。svchost.exeの正体を探るって記事がGIGAZINEで取り上げられていたな。というか「Process Explorer」はGIGAZINEの記事で知ったんだけど、まさかこの記事と同じことをやるハメになるとは..とほほ
Windowsを再起動したら案の定Limewireが勝手に立ち上がってきた。「Process Explorer」を起動してプロセスの稼働状態をを監視する。やっぱりsvchost.exeを騙ったマルウェアか。svchost.exeの子プロセスとしてLimewireが動いている。こんな事は普通だとあり得ないよね。
svchost.exeのプロパティを調べてみたら正体が大凡判明した。
c:\windows\fonts\svchost.exeってあり得んでしょ。Fontsフォルダに.exeファイルだよ(w
恐らくこいつをレジストリのRun辺りに書き込んで毎回起動しているハズだから、「Process Explorer」でKILLした後で、一度ログオフしてもう一度ログオンしてみよう。そしたらやっぱりLimewireが起動して来た。どうやらシステムじゃなくてユーザーの方のレジストリに書いているみたい。だからログオンをトリガーにしてsvchost.exeが上がって来るんだなと判断した訳だ。
エクスプローラでフォルダを開いて正体を掴もうとしたら、そうだFontsフォルダはちょっと特殊だったんだ。エクスプローラーからじゃ見えないよ。「Process Explorer」のプロパティから、お約束通り「隠し属性」にされているのを確認したけれど、この画面からは属性を変更出来ない。かといってエクスプローラからも無理。残るはコマンドプロンプトかよ..orz(MS-DOS系の操作は大嫌い)
なお、コマンドプロンプトの操作をWinkで動画キャプしたんだけど、Winkがイモったんでキャプチャデータはパァになりましたとさ。だから文章で記録しておきます。
普通にDIRコマンドで見ようとすると、隠し属性だから見られませんでした。なので「DIR /AH」とかすれば見られます。存在を確認したのでDELコマンドを使ってみたら、”ファイルが存在しません”とか言うメッセージが返って来ました。え?存在を隠されてるのか?とちょっと動揺したけれど、とりあえず「隠し属性」を解除しようと、確認の為にATTRIBコマンドを使ってみました。そしたらHとSのフラグが立っていて、「隠し属性」と「システム属性」になっていたのであります。こりゃ消せないハズだな。
ATTRIB -H SVCHOST.EXE
ATTRIB -S SVCHOST.EXE
両方受け付けてくれません。隠し属性でシステムファイルだからね。だからどうしようもないのかなと思いながらも、一度にやっちゃえば良いんじゃないの?と思いつきやってみました。
ATTRIB -H -S SVCHOST.EXE
うまく出来ました(w
とりあえず削除することに成功したので(今考えたらFDとかに捕獲すれば良かったな)、後はレジストリのお掃除ですな。regeditを起動して、"Fonts\Svchost.exe"を検索し、見つけたら内容を確認し、怪しいから全て削除して掃除しました。
これでどうかな?と思いながらWindowsを再起動してみたら、Limewireは上がって来なくなりました。もちろんSvchost.exeも上がってきません。 とんだ火遊びになってしまったので、Limewireはアンインストールしてしまおうっと。けどこれちょっと気になるんだよね。デフォルトの共有フォルダを削除して、Fontsフォルダを共有する様に書き換えられてるんだけど、Fontsフォルダを共有したいという秘密が何かあるのか?自分自身(偽のsvchost.exe)を共有でばらまこうと言う魂胆かも知れないけれど、誰も落とさないよねそんなの。頭イイんだか悪いんだか。
まぁ本来ならOSを再インストールすべきなんでしょうが、Windowsは環境構築に時間がかかるからちょっと今の環境を作り直す余裕は無いのね。(ならそれなりの環境で遊べよと)Limewireは恐いですね。怪しいファイルに手を出してはいけません。音質の悪いMP3ファイルのDLとかはまだかわいい遊びですね(苦笑
コメント