記稿.2016/02/27
> CPU使用率が、大幅に上昇するばかりになった。(著生の愛機で概ね80%)
> Cドライブへのアクセスが頻繁になった。書いているのやら‥読んでいるのやら‥
いつまで経ってもそれに終わりが見えない様子に根負けし
Windowsサービスのホストプロセスだけ通信許可を解放した。
(ホストプロセス周りにRundll32というのが2つもあるのだが、そいつは不許可にしてある)
アクセスにはきっと表通りと裏通りがあるはずだと思ったものの
‥それから後で、外部からの攻撃を受けた。
俺はウイルスセキュリティZEROを使っているが
とあるアンチウイルスで検索した結果、libglesv2.dllがウイルスだとの指摘があった。
(アプリのシンボルマークは覚えているのだが、その出来すぎに怪しさを覚え即行削除し記録せず。)
(今から考えると控えておけばよかった‥確かブルーカラーの楯‥ってどこにでもあるし)
で、そのibglesv2.dllを削っていると何がどうなるかというと
ホーム画面を開く度にエラー窓が音を鳴らして立ち上がる。
‥俺が立ち上げていないのに、勝手にそれが発生するなんてのは、間違いなく攻撃されたのだ。
つまり、libglesv2.dllの存在それよりも
ウイルスセキュリティZEROは、もはやファイアーオールとして失格ということになる。
> 攻撃を受けるとウイルスセキュリティZEROのホーム画面上では赤くなりますが
> タスクバー上のカラーに色の変化は起こりません。これじゃ、赤チンにもなりませんね。残念。
でもまぁ、信号が手動に回せるというのは、それはそれでこちらから
通信遮断すればいいということです。どうせ試し打ちの攻撃でしょう。
そしてそのカラクリは、あちらがどうこうできるという中身にありません。
だって、ウインドウズがエラーを吐いちゃうんですからね。
仮に本格的な攻撃を受けたとしても、ケーブルを抜けばとりあえずは凌げます。
(そのぐらい、躊躇せずにやりますよ)
でも、今のところそこまでの感じはありません。理由からしても見当たりません。
‥あったとしたら、そりゃケーブル会社の検討から考えるしかない。
‥それと、ブログからログを拾われるほどの標的という妄想がビンゴなら
‥ブログサイトも変更するしかないでしょ。まぁアドレスの変更をすればいいだけだけど。
(そのぐらい、躊躇せずにやりますよ。検索のヒット率なんかどうでもいいですから)
(それならそれで、却ってブログを一つにまとめるのに好都合と諦めがつきます)
‥それでも攻撃される感覚に特定のリズムを感じるなら
それこそ、当方の記事伝いにやってくる読者またはSeesaaのどちらかに悪意を持った存在が
という事を想定せざるを得ないということになりますが‥単に木馬への定期巡回チェックかと。
こないだの再起動時に何かをインストールされたという件ですが
どうもAtok周りの乗っ取り工作だったようです。
数として、それと同じ量のおかしなファイルがありました。
ウインドウズがフォルダー認識しているのに、見た目がファイルの下ってどういうことだ!!!
(それと‥Software ProtectionとApplication Identityが停止していた。)
> 思えば
デフラグツールには、再起動時の作業の登録をOS側に連絡できる‥という手法がある。
圧縮フォルダーの実際はZipファイルである。
‥それぞれの良いとこを組み合わせれば、削除されても再起動絡みで生き残れるし
ファイルの下にファイルがあるというツリー構造になるから、
検索に引っかからないと見つけることができない。
ファイル名が同一だと検索に引っかかるけど、まったく違っているとほぼ認識不能に置かれる。
‥本体がそこに位置しては、見た目ではまったく認知不能。(まさに土遁の術)
仮に、exeファイルの下に、ツリーにして隠せるとしたらまったく確認できない。
(どのアンチウイルスだって、そんなんではお手上げせざるを得ないだろう。)
(概ね、圧縮ファイルにしか見えていないはずだから)