私のマシンは、netsvcs svchostプロセスでサービスとして現れたトロイの木馬に攻撃されました。このプロセスは、Process Explorerを使用して「svchost -k netsvcs」として識別できます。
私のマシンが感染したことを示していた症状は次のとおりです。
-
1. etherealを使用すると、自分のマシンからESPNやオンライン音楽ストリーマーなどのさまざまなWebサイトへのノンストップHTTPトラフィックを確認できました。
-
2.通常、10〜15分以内にワトソン博士は、汎用ホストプロセスが失敗したことを示すダイアログボックスを表示します。
-
3.プロセスエクスプローラーは、プロセス「svchost -k netsvcs」がCPUを100%使用していることを示しました。
-
4. C:\ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5内のファイルは、プロセス「svchost -k netsvcs」によってロックされていました。
これが私が犯した犯人であるサービスを正確に突き止めるためにしたことです。
Windowsがnetsvcs svchostコンテナーで起動時に実行するサービスのリストは、次のレジストリの場所で取得できます:HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs。MULTI_REG_SZ値の各文字列は、HKLM \ SYSTEM \ CurrentControlSet \ Servicesにあるサービスの名前です。
netsvcsにリストされている各サービスについて、SvcHostに個別のエントリを作成し、サービスのImagePathを更新して、サービスを実行する必要があるsvchostを示しました。
例として、独自のsvchostの下でAppMgmtサービスを実行するには、次のようにします。
-
1. SvcHostの下に、値「AppMgmt」を持つ「appmgmt」という名前の新しいマルチストリング値を作成します。
-
2. SvcHostの下に、「appmgmt」という名前の新しいキーを作成します。「netsvcs」の下と同じ値を使用します(通常、REG_DWORD:AuthenticationCapabilities = 12320およびREG_DWORD:CoInitializeSecurityParam = 1)。
-
3. CurrentControl \ Services \ AppMgmtの下で、ImagePathを%SystemRoot%\ system32 \ svchost.exe -k appmgmtに変更します。
netsvcsの下で実行されるすべての30のサービスで上記の手順を実行しました。これにより、上記の症状の原因となったサービスを正確に特定できました。その後、Process Explorerを使用して、サービスがロックおよびロードしたファイルと、使用したレジストリエントリを特定することで、サービスを簡単に把握できました。すべてのデータがあるので、mmachineからサービスを削除するのは簡単な手順でした。
この投稿が、感染したsvchostプロセスの影響を受ける他の誰かに役立つことを願っています。