不正請求プロセス『mshta.exe』の駆除ログ

妻の知合いから、不正プログラムの対処の相談がったので、
そのときの対処をメモします。。
※下記はあくまで個人的なメモです、、責任はとれません(汗

症状はPCが起動時に、アダルトサイトへの誘導画面が出て閉じることができないから、
どうしたらいいと相談があったので、画面みないとわからないかったのでTeamViewerを使ってリモートで調べてみました。

 

Windowsのタスクマネージャーを開いて、起動中プロセスを見ると、
よくありがちなプロセスがならんでおり、そこから「mshta.exe」というプログラムが怪しいと絞りこんだ。
とりあえずプロセスを終了すると、その不正プログラムの誘導画面は消えたが、再起動するとまた復活した。
リモート接続だったので、再起動するために電話するのがめんどくさかった。

ということで根本を削除するためにその起動する不正プログラムを探しました。
http://windowcpu.com/bbs/board.php?bo_table=exe_m&wr_id=20
このサイトを参考にさせていただきました。
「スタート」、「ファイル名を指定して実行」から、「regedit.exe」を実行し対象を探し、
それらしいプログラムを削除・・
ただどうしてもプログラム本体がみつからず、参考サイトでは、
C:\Documents and Settings\All Users\Application Data\amixi/xxxxx.hta
とありましたが、今回しらべたプログラムでは
amixiではなく、websouth1とうディレクトリ名でした。
特定するため、websouth1内のxxxxx.htaファイルをテキストエディタなどで開き、
対象のアダルト画像を開いているかを確認し、削除しました。
これで無事再起動後も問題ありませんでした。
何かしら自動で分散するプログラムなどあるかもしれませんので、その場合はまた別の方法をとる必要がありそうですが・・
また、この手の不正プログラムを削除するツールなどあるみたいなので探してみるのもありかと思います、
ただ、最近はウィルス対策ソフトを偽ったウィルスソフトも出回っているようなのでご注意を。
このmshtaはWindowsでも利用されているファイル名らしく、また不正プログラムも
見つけられないようファイル名なども既存のプログラム名とかぶらせているので、
むやみに削除するのは絶対NGです。
ちゃんと根拠を特定しないと大変ですよね、、他人のPCならなおさら。

SSH & WinSCP 用 認証キー作成メモ

Linuxを触っていて、たまにSSHのユーザー作成したり、WinSCPを利用させるケースが、
たま~にある。

普段からそれなりにさわっていればすらすら対応できるのですがたまにだと、
ちょっとググってみないと思い出せないなどあるかと思います。
今後私自身迷わないためにも下記にSSH(teraterm)+WinSCPの認証キー作成メモを残します。

■SSHの認証キー作成

サーバーに作りたいユーザーでログインし、下記コマンドを実行

ssh-keygen -t rsa

この操作で、$HOME/.ssh/ディレクトリに秘密鍵(id_rsa)と公開鍵(id_rsa.pub)が作成される。

作られたid_rsa.pub(公開鍵)を authorized_keys に追記する。

id_rsa.pub >> authorized_keys

そしてid_rsa(秘密鍵)の方を、TeraTerm用にダウンロードし、キーファイルとして利用する。

WinSCP用の認証キー作成

おそらくWinSCPと一緒にされているpuTTYgenというツールを起動。
「Genarate」ボタンをおし、マウスをごにょごにょして暗号情報を生成する。
パスフレーズを入力し、「Save pravate key」でWinSCPで指定するようの秘密キーを保存する。

そして、[Public key for pasting into OpenSSH authorized_keys2 file]の内容をコピーし、
サーバー上のauthorized_keysに追記する。
puTTYgen

uttygen_pub_key(上記のコピーした内容のテキスト) >> authorized_keys

これでWinSCPで指定するようの秘密キーを選択しサーバーにアクセスすればキー認証できるはずです。

クロスドメイン対策!各ブラウザ毎のcookieの制御メモ

cookieをp3pで制御する際のメモ!
現在利用しているブラウザでチェックした結果を下記に残します。
あくまで個人的なメモで、参考程度でお願いします(^0^)/

実施OS:windows7 32bit
※cookie p3pについては下記サイトを参考にさせていただきました。
http://msdn.microsoft.com/ja-jp/library/ms537341(VS.85).aspx
http://www.res-system.com/weblog/item/540

firefox3.6
chrome7

⇒p3pの他ドメインでのクッキー書き込みは問題なく制御可能だった。

ie8
⇒<script type=”text/javascript” src=”他ドメイン”>ie8cookieblock

ただimgタグでphpなどを呼び出しての制御であれば、p3p付きで制御するとブロックはなくなった。

safari5(win)
⇒他ドメイン名義のcookieの書き込みができず、うまく制御できず。
デフォルトの設定で、「訪問したサイトのみから受け入れる」という設定になっており、他ドメイン名義での発行ができなかった。。
safariなどの場合は、jsでクッキーの制御などしないと難かしそうでした。
safaricookie

「グーグル脆弱性報告者に報奨金を提供」

http://www.computerworld.jp/topics/google/189680.html

上記記事を見てびっくり!

こういうの挑戦したくなりますね!! 😎

さすがセカイのGoogle!この自信はすごい!
ぜひ挑戦したいです!!

審査で判定された不具合の深刻度に応じて、
報告者は500~3,133.70ドルの報奨金とのこと 😯