2006年11月28日

kernels88.exe

どーもーkuraboでーす。
なんか家帰ってPCつけたらいきなりZoneAlarmが警告を出してくださる。

なんだなんだスパイウェアかウィルスかな?とちょっぴし疑う。

しかしkernels88.exeとな。見たこと無いプロセスだ、怪しい。
そう思ってCtrl+Alt+Del。タスクマネージャを起動しようとしたら

ぶっ、噴いた。タスマネ起動を禁止されておまんがなー。
管理者権限って。俺が管理者だっつーに、寝ぼけたのか。

これはどー考えてもレジストリから禁止されていると踏んでregedit起動。
「HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System」
を辿る。レジストリの海もこの辺は最早庭なのでさっさかたどり着く。

でぃざぼーたすくまねーじゃ、がONになっている。
早速0に書き換える。Ctrl+Alt+Del。おお、タスマネ起きた。
プロセスに常駐して監視するくらいの根性は欲しかったもんですが…。
まぁ最近のウィルスはどうも骨が無いようです。さてプロセスを。

いたいたkernels88.exe。
絶妙に「それっぽいんだけど、どう見ても違う」つーネーミングですね。

さて、ランニングプロセスの名前がわかったらmsconfigで
システム構成ユーティリティを起動、スタートアップの項目を見る。

う、うぅむモロにも程があるぞコイツ。
もうちょっと凝ったつくりに出来なかったのだろうか。中途半端な。

何しろパスがわかっちゃったのでフォルダツリーを辿る。

ホイ発見。


アプリケーションを隔離、拡張子をつぶして無力化。圧縮格納。
もうここまで来るとリンチでございます。HEHEHE。


その後全ドライブ検索かけつつ調べたらコイツスパイウェアだという。
なんだ、スパイウェアにしてはタチが悪いと思ったのですが…。
それなりにスパイウェアも進化してるっちゅー事ですね。あー楽しかった

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/kurabo/50789880
この記事へのコメント
kurabo様、以下ご参考までに私のCaseを書きます。
再発:
1 kernels88.exeの残党が、別名でC:rootに隠れている
  その名前は、例えば     syst.exe 
     又例えば   3456346345643.exe
2 これらは、同じもので、9KBの実行ファイル。
  これを実行すると、消したはずの
  kernels88.exeを(Win\System32に)再び作り出し、
  kernels88.exeをRegistryの、StartTaskに再登録する。(続く)
Posted by NAM at 2007年01月03日 19:36
続き
3 kernels88.exeは
  HKEY_CURRENT_USER\Software\Microsoft\Windows
  ・・・\Policies\System
に "DisableTaskMgr" = "1"なるEntryを作る。
4 更にkernels88.exeは、Internet の cacheに、
   Trojan.Frogexer!genを作り出す。
5 SAVは4の段階でVirus検出し除去するが、1〜3については、何の警告もしない。残党、影武者を個別にVirus
Scanしても何らお咎めなし。以上蛇足まで。NAM
Posted by NAM at 2007年01月03日 19:39
ふむふむ、kernel88.exeのケースでここにたどり着いている方が多くいらっしゃるようです。
私のケースでは記事の部分で終結したようですがなるほど、そういうケースもあるのですね。
参考になりました、ありがとうございます。
Posted by kurabo at 2007年01月03日 19:44