svchost.exe が100%になる問題 – webウイルスとsiszyd32.exe
2010年1月 4日 0:48:06年末年始で相談を受けたんですが、NOD32 でウイルス警告が出て、いまいち重かったので最悪リカバリーまでを視野に入れてノートパソコンをお預かり。
そうすると、svchost.exe がCPUを100%締め続けていたので、これは昔あった「自動更新でCPUが100%になり続ける不具合(新窓)」かと考えて、自動更新を止めてWindowsUpdate。が、しかし直らない。
(余談ですが、このパソコンはXP SP2 でした。Windows Update はみなさんちゃんとしましょうね!)
ウイルス疑惑もあったのでNOD32 で再度フルチェック。まぁ、そしたらあっさり引っかかったんですけど。
結果としては、JR東日本も受けていたWebページの改ざんを経由してのウイルスでした。
ウィルスの種類:「Gumblar」亜種
Gumblarウィルスとは、改ざんされたWebページを表示すると感染するウィルスの一種です。感染したパソコンでは、お客さまの意図しないサイトへ誘導される可能性があります。
てことで、その方の持ってるWebサイトを確認すると見事に改ざんされていました。
具体的には、「<script>/*GNU GPL*/ try{window.onload = function(){var ~」で始まるスクリプトが仕込まれます。
GNU GPLライセンススクリプトのように書かれていますが、立派に不正コードなのでお気を付けください。
ちなみに、当該サイトにGoogle Chrome にてアクセスする下記ように表示されます。
また、このウイルスがパソコンに感染した場合、「siszyd32.exe」という実行ファイルをスタートアップに登録します。
なかなか日本語環境のヒントがなかったのですが、とりあえずこいつをさくっと消してしまいましょう。
その後、念のためにウイルス対策ソフトでフルスキャンをどうぞ。
また、このsvshostの実行サービスを確認すると、「generic host process for win32 services」で表示されました。
このエントリーは「siszyd32.exe」というものがなにかを日本語ソースで出したいが為の記事であり、ろくに推敲などしていないので間違いや指摘修正事項があればどんどん突っ込みしてください。
普段ちゃんと文章書かないとうまくかけません。具体的には140文字以内で終わらせたいものです。
まぁ、亜種が出回ってるウイルスなのでこの情報もあっという間に陳腐化するかもしれません。
■関連リンク
情報処理推進機構:情報セキュリティ:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(新窓)
相次ぐ「Webウイルス」に緊急警告、Adobe ReaderやFlashを最新版に:ニュース(新窓)
関連記事かも?
« Previous — Next »
No comments yet