知り合いから会社のパソコンで変なプログラムが動いたり、パーソナルファイアーウォールがなにやら警告を発しているんで助けてという電話がきた。
症状を聞き出してGoogleにきいてみたけどそれらしい情報は出てこない。
仕方がないんで、現地に行ってみたら、javams.exeが動いて、バックドアも仕掛けられてトホホな状態。
どうもADSLに直につないでパーソナルファイアーウォールでブロックしているつもりだけど、何かが使えなくて低レベルに設定したみたい。そのときに仕込まれたんだろうねぇ。
\winnt\system32\smonと\winnt\system32\visitorsとかできていろいろ突っ込まれてましたわ。きっとircがあがったりftpdがあがったりするんだろうねぇ。
とりあえず、レジストリから自動起動の設定を削除して、問題のディレクトリも削除してバックドアはなくなった予定。
物は固めてメールで自分宛に送ったんだけど、まだこないなぁ。どこでとどまっているんだろう…