EMOTET(エモテット)に感染しました。
私じゃないですよ、取引先っていうんですかね、お付き合いのある企業が感染していて、いろいろと調べることになりました。
始まり ~サーバーのCPU使用率が100%になる~
業務上、ウイルス対策ソフトとかの相談とかを受けてたりするんですが、「収めたサーバがずっとCPU100%になって業務ができない。。。」「ウイルス感染の可能性があるのでウイルスチェックツール貸し出せない??」
いつもお世話になっている方だったので、せこせことウイルスチェックツールの準備。
準備できたウイルスチェックツールを渡しにいったときに話を聞くとウイルス対策ソフト未導入と事。
おいおい。。。このご時世ウイルス対策ソフトくらい入れといてくれよ。。とかを思いつつ、
私「何時くらいから作業するんですか?」
担当「20:00くらいかな~」
私「大変ですね~」
たわいもない雑談をして、担当者はサーバの設置先へ
夜間の電話で起こされる
予想通りというか担当から電話がかかってきました。
担当「対象が仮想サーバで動いていて検索できない」
使用したウイルスチェックツールは『TrendMicro Portable Security』というトレンドマイクロが提供しているUSB型のウイルス検索ツールで仮想サーバには使えないものでした。
はてさて、どうしたものか。。。眠い。。
まず、ここでの結論としては本日中の対応完了は無理(AM2:00ですよ)。
ホストサーバについてはウイルスチェックを実施。
翌日、朝から対応方法について検討する。ということになりました。
対応方法についての話しあい
前日ウイルス検索したホストサーバからは、うじゃうじゃ出てきました。
ウイルス名からEMOTET(エモテット)ウイルスが大多数。
処理が完了しないウイルスもちらほら
打合せの結論
ゲスト、ホストともCPUが高負荷状態になっている
ウイルスバスターCorp.の環境を構築(インターネットに出れる別環境でパターンファイルのアップデートを実施)
構築したサーバを対象サーバがある環境に設置しウイルスバスターをインストールしウイルス検索を実施
対象サーバはホストとゲストの2台
ウイルス検索してもCPU使用率100%が収まらない
準備も終わりウイルスバスターを対象サーバへインストールし、手動検索を実施
うん。ホストからウイルス検出してくるね、ゲストからは。。?検索が進まない。
どうやら、ウイルスがCPUを思いっきり使っていて、検索に時間がかかってそう。
うわ、めんど!
ホストをウイルス検出した際にある程度決まったフォルダから検出されていることが確認できていたので、そこのフォルダを手動で確認
主なフォルダ:C:\Users\<ユーザ名>\AppData\Roaming
主なフォルダ内に長い英数時のファイルが保存されている
こんな感じ
条件に当てはまるプロセスを削除して、CPUの使用率もある程度落ち着いたのでウイルス検索を実施
検索も順調に進むことを確認し待ち!
手動でこつこつ削除作業
色々と検出してきて、処理も終わったので一度対象のサーバの再起動を実施
うん?CPU使用率収まらないな??
再度調査を開始
ん?ウイルスが1時間おきに検出されてる?
ウイルス対策ソフトを入れたことでリアルタイム検索が動作していたのですが、特定のファイルが1時間おきに検出されているのですよ。。。
経験則からタスクスケジューラを確認
なんかあるね~
長いファイル名のファイルをしているタスクスケジューラがちらほらと(3つくらい)
うん。とりあえず無効にしよ☆
ぴんときてWindowsのスタートアップの登録も確認
うん。めっちゃある(確か30数個)これも無効に設定してサーバの再起動を実施。
CPU落ちついたー!
再度ウイルス検索を実施してちらほら検出したけど2回目のウイルス検索で検出されないことを確認。
おわり!!
おまけ
今回はエモテット感染してどうにかこうにか駆除した記録を書きましたが、一番はウイルス対策ソフトをインストール(Windows Defenderも可)しておくことです。
ねちけっとなんて言葉もありますが、最低限のセキュリティ対策としてウイルス対策ソフトは導入しておきましょう
ウイルスバスター クラウド(最新)| 3年 3台版 | オンラインコード版 | Win/Mac/iOS/Android対応
また、IPAからEmotet感染チェックツール「EmoCheck」というツール提供されています。
実際使ってみた記事はこちらになりますので興味がありましたらこちらもご覧ください。
コメント