チェック方法

197 :番組の途中ですが名無しです :2005/11/20(日) 00:02:04 ID:i7beFOY40 これウイルスがアクセスしているアドレスに
自PCがしているかどうか調べるにはどうしたら良いのか?

そんな俺はvaio使い
どう見ても負け組です。本当にありがry

200 :番組の途中ですが名無しです :2005/11/20(日) 00:24:07 ID:PW9kbQh20 >>197
どっかのスレで見たけど

ipconfig /displaydns~

で最近ひいたアドレスが見られるらしい


201 :番組の途中ですが名無しです :2005/11/20(日) 00:44:46 ID:/OIf9E2H0 >>200
本当だ。知らんかった。

>>197
というわけで、

スタート→プログラム→アクセサリ→コマンドプロンプトを起動し、
以下の文字列をコピペして実行するとC:\にsonylog.txtができる。

ipconfig /displaydns > C:\sonylog.txt

以下中の人からの追記:
このsonylog.txtの中にあるアドレスが接続先ホスト一覧と一致するなら感染してる可能性有り。多分。

Mark's Sysinternals のもっと良い方法

via http://www.sysinternals.com/blog/2005/11/sony-no-more-rootkit-for-now.html

Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality. Unfortunately, all of the AV cleaners I’ve looked at disable it improperly by unloading it from memory - the same way Sony’s patch behaves - which as I noted previously, introduces the risk of a system crash. While they post disclaimers on their web sites to that effect, they should use the safe alternative that I described a couple of posts ago, which is to delete the rootkit’s registration from Windows so that it won’t activate when Windows boots:

1. Open the Run dialog from the Start menu

2. Enter “cmd /k sc delete $sys$aries”

3. Reboot

アンチウイルスベンダーの rootkit 削除方法は SONY BMG のと同じで、不完全だ。システムクラッシュの可能性もあるし。それよか、もっと良い方法があるから公開するね。

  1. スタートメニューから「ファイル名を指定して実行(R)...」を選択して、ダイアログボックスを開く
  2. 次ののコマンドを実行する
    cmd /k sc delete $sys$aries
  3. 再起動させる

Muzzy's research about Sony's XCP DRM system

I've collected some of my findings about the Sony's XCP DRM rootkit here. Enjoy! I'm rewriting the page as new information is uncovered, so be sure to check again later.

このRootkitに感染しているかどうかのチェック

  1. メモ帳で適当なファイルを作ってデスクトップ等すぐ見えるところへ保存する
  2. その名前を$sys$test.txtへ変更する
    • FAQにある 12.「$sys$」で始まるファイル、レジストリ、プロセス、サービス等を見えなくするという機能を逆手にとります
  3. 名前変更後のファイルが見えていれば問題なし。突如として消えた場合は感染しています。

対策ツール類へのリンク

ウィルス定義ファイル

対策

  1. ソニー製品を買わない
  2. 自動再生機能を無効化で対応できるのかなあ...