動画に ActiveX 使ってるものを見るために IE 使ってちょっとブラウジングしてたら、突然ポップアップが出現。

見てみると Critical error! というタイトルで、英文で 「XP のシステムにスパイウェアが感染してます。ただちにアンチスパイウェアソフトで駆除してください。アンチスパイウェアソフトをダウンロードしてもよろしいですか？」というやつ。
これはトロイ食ったなと思い、ポップアップを×ボタンで消そうとしたらグレーアウトしてあった。
これは「はい」と「いいえ」がどちらも「はい」のコマンドなんだろうね（笑）

仕方ないのでそのままタスクマネージャーで落として、パソコンをセーフモードで起動し直し、アンチウイルスソフトでフルスキャンしてみる。
しかし、なんの反応も無し。
常駐に引っかからないんだから仕方ないかと、今度は spybot でスキャン。
これも反応無し。

あれ？見てたページの方に仕込まれてたのかなと、IE をまた起動して Google につなごうとしたらコネクション張った瞬間にポップアップが出現。
やっぱり、パソコンに感染してる。

次に Ad-Aware 2008 でスキャン。
これも反応無し。

ヒューリスティックも反応しない。なぜだ？

Firefox 使う分には何の問題も無し。タスクマネージャーなどで監視しても反応無し。


よーく調べてみると、IE のデフォルト設定だと IE に勝手にアドオンをインストール出来るらしく、これがトロイの木馬を仕込む格好の餌食になっているとのこと。
しかも、手動でインストールしていないアドオンは削除不可。
さらに IE に組み込まれるためアンチスパイウェアソフトやアンチウイルスソフトから隠匿され駆除が難しいとのこと。


ならばと IE をセーフモードで起動させてみる。
アドオンが原因ならコレで問題がなくなるはず。
推測は当たっていて、問題なく接続出来るようになった。

該当のアドオンを調べるため、アドオンを半数ずつ無効にして特定していった。
結果、Gold.Manager というアドオンがトロイということが分かった。とりあえずそいつだけ無効にして、ググる。
日本語だと何も出ない。すべての言語を対象にすると10件ほど情報があった。
どうやら8/7に出現した亜種らしい。
駆除するには専用のスパイウェア削除ソフトを入れるか手動で削除しろ。と書いてあったので、余計なソフトいれてスパイウェアが仕込まれていると嫌なので、とりあえず手動で削除することに。

そのページによると、system32 の中にある Goldman.dll Goldmng.dll gldManager.dll gldman.dll などが本体なのでそれを削除すればいいとのこと。
機能自体はよくあるガセアンチスパイソフトを買わせるだけの、トロイだったようだ。
Prevx のアンチスパイソフトなら対応しているらしい。使ってないので伝聞だが。


何はともあれ、駆除できて良かった。
アンチウイルスソフトはフルスキャンするのに2時間半も掛かるので時間が掛かってしょうがなかったが、まぁ勉強になったと思っておこう。

あ、ちなみにこの後すぐ IE のセキュリティを高設定にしておいた。
高設定だとアドオンの自動インストールされなくなるとのこと。