データ移行のご依頼があり、
先ほどデータの98.3%の取り出しに成功しました。

作業していて、少し不可解な事がありました。
実はXPとVISTAと7は、dir配列やシステムファイルの
設置場所が決まっているので、ファイル名を見れば
どのOSで作られ、どう配置されているのかわかります。

またシンボリックlink機能があり、それを元に辿れば
リカバリーするデータは全て一目瞭然となります。





今回リカバリーをかけていて、
1.システム側が管理している対策ソフトが多重構造。
2.Document and Settingsのディレクトリー構造が露見。
3.XPページシステムにAdministratorのパスワードロック。
4.ロックの先からスパイウェアのBOT攻撃ログ発見。





どうやら
このPCは以前XPからVISTAにリカバリーがかけられていた。
ロック構造はSP2で、思っている以上に古いウィルスかな？と


出ました。

A.Trojan-Downloader.Win32.Zlob.BHTR
B.Trojan-PSW.Win32.Delf.CG
C.Trojan-PSW.Win32.OnLineGame.AKKG
D.Trojan-RAT.Win32.Rootkit.Agent.CF

Dでバックドアが開き、BとCはPSW(パスワード窃盗)なので
パスワード構造が盗まれ、Aのダウンローダでエラー連発。
リモートが前提なので、ハードディスクも不良セクター有り。

DのRootkitは相当なやつで、メモリー上に逃げ込んだり、
Windows7のページファイルに逃げたりと、少し苦労しましたが
ルートスキャンののち、３種類の違う対策ソフトで時間差攻撃で
ようやくメモリー上で捕まえてそのままリセット２回繰り返して除去。



少しおかしなことがあります。
Document and SettingsこれはXPにしかないシステムdirで、
しかもAdministratorがロック、前任のシステム屋さんは誰？
パスワードがないと、1.7%のデータ取り出せないんですが。




トロイの木馬でもダウンローダはある程度のソフトでも
検出されますし、除去も簡単ですが、RAT(バックドア系)と
PSW(パスワード窃盗系)は、ウイルスバスター、マカフィー、
セキュリティゼロ、ＭＳＥは実は効果がありません。
ネット上に公開されている比較表を見ればわかります。
既知の、有名な、亜種のウエアなどには対応しますが、
(実際日本固有のイカタコウイルスは全部素通りでした。)
未知の、新型の、同様の行為を行うウエアに対応しません。


http://www.youtube.com/watch?v=Y_2BliCj58E


システム屋ならば、データ移設サーバに対策ソフト３種は基本だと思います。
検出結果は、ＫソフトとＡソフトはABCD、ＥソフトはACDでした。
感染源が特定されないので、メールデータがもしかすると…




最近のやつは、１００％保全が図れているサーバ型じゃないと
１００％のウイルススクリーニングは不可能です。
感染してから対策しても、市場に出回っているウイルス対策ソフトは
誰もが知っているので。ウイルス側も対策できます。