この2、3日は、Linux機のHDDのハード的な障害に起因する一連の
騒動の中にいました。それも、師匠の助言などがあり、あとは、
買い換えたHDDにファイルを戻して、サーバーの設定を直すだけ(のはず)
というころまでたどり着くことができたところで、最近気になってたWindows機が
メモリを大量消費するという問題への対応の一環としてスタートアップの整理を
しようとしたのが、今回のコトの発端です。
ずいぶんと、スタートアップの整理なんてしなかったので、何年か前に買って、3ヶ月で
壊れたのに何の保障もしてくれなかったオリンパスのデジカメ用のソフトとか、いつのまに
入り込んだのかわからないPennyBee というアドウェアとか、無用の項目を次々と
無効にしていきました。
製造元不明の {715F5669-7AE2-3621-11F6-09D10EDF3A32} という、いかにも
あやしげな項目も、当然のことながら、無効にしようとしたのですが、何度やっても、
復活してしまうのです。
じゃあ、これに関するレジストリキーを削除しちゃえと、やっても、これまた、何度でも
生き返ります。
エクスプローラで、ファイル自体を削除しようとしても、同じくゾンビのごとく死にません。
ほとほと困って、まずは、NTT西日本のサポートに電話しました。いろいろやりとりは
したのですが、原因となってる ozeq.exe が、ぁゃιぃ ふるまいをしているという動きが
感知できないので、サポートできないというのです。で、microsoft のサポートに
電話してみたらとまで言うので、電話しようとしたら、電話番号を表示するには、
マイクロソフトアカウントを取得しなければならないみたいなことになっていて、
まあ、なんとか、サポートの電話番号を検索で見つけて電話したのですよ。
そしたら、相談内容が無償サポートの範囲を越えてると言いやがりまして、
じゃあ、有償サポートの値段は?と聞くと年間何度でもサポートできる契約が
1万5千円ほどと、ほざきます。そりゃ、高いから、一回こっきりの場合は?と聞くと、
一万円くらい… おだやかに受話器を切りました。
Windows7 の再インストールなんてヤだなあと、さらに検索しても、イイ知恵がなくて
(RegSeeker なんてソフトも使いたくないし)ozeq.exe そのものに関する情報も
見つからないし…
で、思いつきで、ozeq.exe をバイナリエディタで呼び出して、その中身をすべて削除して
上書きしたら…解決しました。レジストリも無事削除できて、スタートアップ項目からも
自動的に消えて、めでたしめでたし。
ozeq.exe 自体は、記念に冷凍保存してますから、欲しい方がいらっしゃいましたら、
連絡ください(笑)
思わず msconfig タイプしちゃいました(笑)
しかしナニモノなんでしょうかね。
興味があれば、破格値の30円くらいでお譲りしますから、
解析してみてはいかがでしょう。
退治するのにゴキブリ的な生命力を持ったコヤツが、
悪者なら、仕込み先ごとにフォルダ名や、ファイル名を
変えるという小ワザも使っているのでしょうね。じゃなければ、
ozeq.exe を検索すれば、なにがしかの情報が得られるハズですもんね。
スタートアップにいて、常駐しながらも、NTTのセキュリティ対策ツール担当者によれば、
外部とのやりとりなどはしていない様子というのも、かえって不気味です。
「草」と呼ばれる任務に就いた忍者のごとく、これを送り込んだ者から
指令があるまで、じっと、息をひそめておいて、時が来れば、
たとえば、DDoS攻撃に駆り出すとか、爆破予告を書き込ませるとか、
日本年金機構にメールを送るとかしそうですもんね。ぶるる…
常駐してるんでしょうかね。
それにしてもググれないほうが怖いです。
この際、いろいろ、調べていたら、WordPressのリモート投稿機能のXML-RPCを
悪用してDDoS攻撃の踏み台にするという手もあるそうです。
http://labs.sucuri.net/?is-my-wordpress-ddosing
で、チェックできるというので調べたら、
Good: Your Website http://125.0.136.*** was not used for DDOS.
とのことでしたので、とりあえず、安心。
しかし、鯖を公開している以上、今回のような偶然に頼ったヘンなものの
発見ではなく、常時監視できる体制を構築しなければと思いつつ、
なかなか、できませんね。とりあえずは、トラフィックの異常を
感知して知らせてくれる仕組みづくりです。できれば、感知したら
自動的にネットを遮断してくれればありがたいですね。
でも、たいていの攻撃者のほうが、私より強いということこそ、
最大の問題なんです(泣)