【経過】Windows関連の通信許可を全部塞いでみたところ

記稿.2016/02/27

＞　CPU使用率が、大幅に上昇するばかりになった。（著生の愛機で概ね８０％）
＞　Cドライブへのアクセスが頻繁になった。書いているのやら‥読んでいるのやら‥


　いつまで経ってもそれに終わりが見えない様子に根負けし
　Windowsサービスのホストプロセスだけ通信許可を解放した。
　（ホストプロセス周りにRundll32というのが２つもあるのだが、そいつは不許可にしてある）

　アクセスにはきっと表通りと裏通りがあるはずだと思ったものの
　‥それから後で、外部からの攻撃を受けた。


　俺はウイルスセキュリティZEROを使っているが
　とあるアンチウイルスで検索した結果、libglesv2.dllがウイルスだとの指摘があった。
　（アプリのシンボルマークは覚えているのだが、その出来すぎに怪しさを覚え即行削除し記録せず。）
　（今から考えると控えておけばよかった‥確かブルーカラーの楯‥ってどこにでもあるし）


　で、そのibglesv2.dllを削っていると何がどうなるかというと
　ホーム画面を開く度にエラー窓が音を鳴らして立ち上がる。
　‥俺が立ち上げていないのに、勝手にそれが発生するなんてのは、間違いなく攻撃されたのだ。

　つまり、libglesv2.dllの存在それよりも
　ウイルスセキュリティZEROは、もはやファイアーオールとして失格ということになる。


＞　攻撃を受けるとウイルスセキュリティZEROのホーム画面上では赤くなりますが
＞　タスクバー上のカラーに色の変化は起こりません。これじゃ、赤チンにもなりませんね。残念。


　でもまぁ、信号が手動に回せるというのは、それはそれでこちらから
　通信遮断すればいいということです。どうせ試し打ちの攻撃でしょう。
　そしてそのカラクリは、あちらがどうこうできるという中身にありません。
　だって、ウインドウズがエラーを吐いちゃうんですからね。

　仮に本格的な攻撃を受けたとしても、ケーブルを抜けばとりあえずは凌げます。
　（そのぐらい、躊躇せずにやりますよ）

　でも、今のところそこまでの感じはありません。理由からしても見当たりません。
　‥あったとしたら、そりゃケーブル会社の検討から考えるしかない。
　‥それと、ブログからログを拾われるほどの標的という妄想がビンゴなら
　‥ブログサイトも変更するしかないでしょ。まぁアドレスの変更をすればいいだけだけど。
　（そのぐらい、躊躇せずにやりますよ。検索のヒット率なんかどうでもいいですから）
　（それならそれで、却ってブログを一つにまとめるのに好都合と諦めがつきます）

　‥それでも攻撃される感覚に特定のリズムを感じるなら
　それこそ、当方の記事伝いにやってくる読者またはSeesaaのどちらかに悪意を持った存在が
　という事を想定せざるを得ないということになりますが‥単に木馬への定期巡回チェックかと。

こないだの再起動時に何かをインストールされたという件ですが

　どうもAtok周りの乗っ取り工作だったようです。
　数として、それと同じ量のおかしなファイルがありました。
　ウインドウズがフォルダー認識しているのに、見た目がファイルの下ってどういうことだ!!!
　（それと‥Software ProtectionとApplication Identityが停止していた。）


＞　思えば


　デフラグツールには、再起動時の作業の登録をOS側に連絡できる‥という手法がある。
　圧縮フォルダーの実際はZipファイルである。

　‥それぞれの良いとこを組み合わせれば、削除されても再起動絡みで生き残れるし
　ファイルの下にファイルがあるというツリー構造になるから、
　検索に引っかからないと見つけることができない。

　ファイル名が同一だと検索に引っかかるけど、まったく違っているとほぼ認識不能に置かれる。
　‥本体がそこに位置しては、見た目ではまったく認知不能。（まさに土遁の術）

　仮に、exeファイルの下に、ツリーにして隠せるとしたらまったく確認できない。
　（どのアンチウイルスだって、そんなんではお手上げせざるを得ないだろう。）
　（概ね、圧縮ファイルにしか見えていないはずだから）