2013-8-30[金]

windows7のマシンのカスペルスキーがトロイの木馬 Win32.MultiDL.k.を発見、一応駆除に成功はしたものの、かなり危険でした。

8/17日に原因不明(当日にフリーウエアをインストールした覚えは無い、以前入れたプログラムに仕込まれていたのか、たまたま見た動画にでも仕込まれていたか)でインストールされていたBit89 IncのBrowser Defenderという怪しいプログラム。
その日、firefoxの初期ページがBabylonSerch?になってしまうというトラブルがあったので関係ありそうです。
Babylon serchの問題は、あちこち検索して解決しましたが、Browser Defenderには気づかないままでした。このプログラム、表立って怪しい事をしている様子は無く、カスペルスキーインターネットセキュリティーも無反応でした。
その後スマホでのテザリングなどネット接続が不安定な状態になると、ブルースクリーンが出てwindowsが再起動してしまうという事が時々発生、これがBrowser Defenderとかかわりがあるかは不明です。google chromeを使っているときは問題無かったので、firefoxの問題かもしれません

8/30日の朝になって、Win32.MultiDL.k.というトロイの木馬プログラムが、Browser Defenderのuninstaller.exeにあるしているとカスペルスキーがレポート、自動処理にまかせた結果、完全駆除できましたが、なんと全部で3箇所にあり、時間がかかりました。

Browser Defenderはコントロールパネルから削除できないので、うっかりするとこのuninstallerを使ってしまいそうですが、そうするとWin32.MultiDL.k.が起動して、とんでも無い悪さをしそうな気配です。
Browser Defenderの削除は、ネット情報によって、IObit Uninstallerというツールを使用しました。こういう状況でこのツールを信用して良いのか迷いましたが、広く普及して実績もあるようなので大丈夫でしょう。

Win32.MultiDL.k.についての日本語情報は皆無、同類のWin32.MultiDL(類)についてもほぼ英語情報しか見当たりませんが、trojan downloder としてよく知られているようです。
Win32.MultiDL.k.はファイルとして存在するのではなく、Browser Definder.exe やuninstaller.exeというプログラムに仕込まれているようで、これらのプログラムを起動することで働き始めると思われます。いまのところ実害は無いようですがしばらく注視していきます。

ウイルス対策ソフトのデータベース更新よりも先回りして配布されるこうしたマルウエア(トロイの木馬は定義上ウイルスでは無いそうで)完全に防ぐのは難しいことです。
私は仕事以外のときは、windowsは使わないので、比較的安全圏にいるのですが、仕事でネットに接続しないわけにはいきません。

以上、日本語情報が少ないのでとりあえずの報告です。
Yahoo!ブックマークに登録 Google ブックマーク
clip!