記稿.2016/03/10
> “Windowsサービスのホストプロセス”だけ通信許可の状態でも
> 今月のWindowsアップデートがあっさり通った。
‥ということは、それこそネットに繋いでも、概ね見聞のみの利用者にとって
他のWindowsサービスの通信許可はほぼ無用であることが判明。
ブラウザーがIEに、チャットに、TV電話に、データドライブとして双方向通信なんて使い方の人は
まぁそういうわけにも行かないと思うが、
とりあえず怪しいと思ったら、許可を与えずに塞いだままでも良さげある。
> 例の如く‥再起動をした後の挙動にてんてこ舞いした
・ ATOKユーザーデータマネージャー(ATOK28IB.EXE)の三重重複が発生。
・ Windows Modules InstallerがCPU使用率50%を示す。
・ Windows Installer共々気持ち悪いので、モグラ叩きするが、ゾンビ復活しまくる。
‥是はどう見ても、木馬の引っ越し工作にしか思えなかったのだが
> 何度か再起動を繰り返した後
何気に、ATOK28IB.EXEのファイル状況を確認したところ
Cドライブ内に、一つしか検索ヒットしない結果を経た。
‥つまり、今回のアップデートで
その辺りのOSの穴がふさがったのだと思われる。(是は評価できそうだが‥)
OS側がファイルとして検出しないのなら、木馬とて利用のしようがない。
(‥しかしまぁ、他の部分は相変わらずで、妙な重複ヒットが出まくるままだ)
> 結果的に、Windowsのインストールサービスの挙動はなんだったのだろうか?
除去ディフェンスか?それとも攻撃ディフェンスか?木馬の足掻きだったのか?
‥その辺ちっとも分からんぞ。
> それにしても
「テレメトリ関連のKBファイルはやっぱり当てといた方が良いのかな?」
‥当てといた方が、良いような気がするのだが
とりあえず、来月のアップデートまで様子見である。
アップデートの度に、木馬の振る舞いらしき挙動が続くなら、当てておいても同じだ。
それで起きないとしたら、意味のあるパッチということになる。
posted by 木田舎滝ゆる里 at 16:19
|
Comment(0)
|
パソコン悩ましいZ
|