これが発見したフォルダーです。
以下、マイクロソフトのサイトで見つけた情報です。
「ProgramData」配下にあること、14桁と6桁の数字が名前となるフォルダー という点も完全に一致しています。
現在も動作している可能性があるので、別のサイトでこのプログラム動作時の状況を調べてみました。
このマルウエアは自動実行するためレジストリを追加している、とあったので早速レジストリを調べてみました。
おかしなレジストリ値は見当たらないので、一応大丈夫そうです。
楽観的に考えると、Windows10 にアップグレードした際、このマルウエアが削除されたのかもしれません。
とはいえ、安心できないので、このフォルダーを削除し、しばらくの間「ProgramData」を監視していきます。
以下、マイクロソフトのサイトで見つけた情報です。
「ProgramData」配下にあること、14桁と6桁の数字が名前となるフォルダー という点も完全に一致しています。
現在も動作している可能性があるので、別のサイトでこのプログラム動作時の状況を調べてみました。
このマルウエアは自動実行するためレジストリを追加している、とあったので早速レジストリを調べてみました。
おかしなレジストリ値は見当たらないので、一応大丈夫そうです。
楽観的に考えると、Windows10 にアップグレードした際、このマルウエアが削除されたのかもしれません。
とはいえ、安心できないので、このフォルダーを削除し、しばらくの間「ProgramData」を監視していきます。
アクセス
トータル
ランキング
使用しているセキュリティソフトでは検知できなかったようなので、他のセキュリティソフトでスキャンされたほうが良いかもしれません。
マルウェアはレジストリの隠蔽もするようなので、不審な部分が見つからなくても安心しないほうが良いようです。
知っているかもしれませんが、レジストリエディターに関してですが、32ビット用と64ビット用があります。32ビット用から64ビット用のレジストリ値を扱うことはできませんが、64ビット用からは32ビット用のレジストリ値を扱えます。
「WOW6432Node」というのが32ビット用です。
例:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
ちなみに、セキュリティソフトのテストに関してですが、問題が解決したので今日から収集を始めて来週テストする予定です。
またWindowsDefender では安心できないので、COMODO でスキャンしてみましたが、こちらも問題は見つかりませんでした。いずれにしても過去に感染したことは間違いなさそうなので、注視していこうと思います。
セキュリティソフトのテスト、問題が解決してよかったですね。
だとしたら、これはマルウェアでなく仕様です。
確かにこのマシンでは2014年頃(当時のOSは Windowws8.1)には Sleipnir v.5 をインストールしてた記憶があります。
その後、Windows10 にアップグレードしてからはアンインストールしましたが、その痕跡が残っていたと思われます。これでスッキリしました。。。