2010年06月29日

危ないウイルス:sshnas21.dll(FakeAlert)の駆除

 ウイルス対策ソフトでPCの全体スキャンをしていたら、sshnas21.dllがヒットした。

 ネットで調べたらとても危険なウイルスのようだ。
 Adobe Flash Playerプラグインがクラッシュしたと見せかけて、ウイルスの入った偽の更新プログラムを悪意のあるサイトからダウンロードさせるというFake Alertタイプ。 コア・コンポーネントとして、c.exe 、 msa.exeとsshnas.dll (または sshnas21.dll )をインストールする。IEを乗っ取り、タクス・マネージャやレジストリ・エディタを無効にする。

 そういえば、3日ほど前から、いろいろなサイトで、フラッシュがクラッシュしたという下のような表示が出るので、おかしいと思っていた。

 下はただの画像ですので安全です(笑)。Flash Playerプラグインの更新プログラムのダウンロードを求める別の画面の場合もあります。

fakeclash report


 偽の警告を出して、さまざまなウイルスばらまきサイトに誘導するらしい。本当に怖いウイルスだ。

【ウイルス】

 sshnas.dll または sshnas21.dll
 (Trojan FakeAlert)

【ウイルスの場所】


 今回、見つけた場所は、

 c:\user\AppData\Local\Temp\sshnas21.dll

 しかし、

 C:\Windows\System32\sshnas21.dll
 
 の場合もあるらしい。

【駆除方法】

 ウイルス対策ソフトが駆除してくれるので、ウイルス本体(sshnas21.dll)は駆除済み。もし、残っていたら、ウイルス対策ソフトが役立たずなので、別のものに交換しましょう。手動でも削除できると思いますが、できなかったらセーフモードで起動して削除。

【追記です】

 上記の方法でも削除できない場面に出くわした。この場合には、「Unlocker」という強制削除ソフトで削除します。

 スタートアップに残骸が残っていたので、これを削除。
 レジストリからも削除。(方法は過去記事を見ましょう)【追記】この方法については記事の最後をご覧下さい。

 上の画面のような「クラッシュ」画像が表示されたら、このウイルスを疑ってみる必要がある。

このウイルスのご親類に、『LosAlamos』や『Canaveral』がいるらしい。とても危険なご親類です。


【どこで感染したか】

 思い当たるのは、Fontを探して、あちこち回ったので、その時に感染したらしい。困ったものだ。ウイルス対策ソフトを3つ起動していても感染を防げないとは。Fontサイトには、ダウンロードが目的で訪問するので、PCを操作する人の責任であり、対策ソフトの責任ではない、ということだろう。

 というわけで、このウイルスを警告するGIFアニメを作りました!

fakeclash report Animation


 ちなみに、アドベ(Adobe。Flash Playerのアドビではない)とは、日干しレンガのことです(笑)。

【追記 2011年5月7日】


 「ウイルス『sshnas21.dll』の残骸を掃除する方法」の記事を書きましたので、よろしかったらご覧下さい。
posted by ネコ師 at 03:01 | Comment(0) | しつこいウイルス駆除 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
記事に関係ないコメント、宣伝的なコメントは削除させていただきます。
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

▲ このページのTOPに戻る