マルウェア処置中にネット接続できなくなった場合の対処法
「マルウェア処置中にネット接続不可能にされる異常の対処法」
『概要』
ネット上でマルウェア感染して、その処置作業中にネット接続できなくなる事例が多発しています。
これはマルウェアが検出処置される動きを感知したら、そこから先の処置を逃れるためにネット接続を阻害する目的でネット接続不可能にするものです。
ネット接続不能にする目的は、web検索で対処情報を見つけられたり、駆除用のセキュリティツールやそれを配布するサイトへのアクセスやダウンロードも妨害するためです。
具体的には検出されていざ処置されるときに、そのPCの設定を改ざんすることでその先の作業を阻害します。
つまり敵基地に侵入した工作員が見つかって、そこでとどめを刺される時に自爆して、その基地のただひとつの門(出入り口)を破壊して、そこから出ることも入ることもできなくするような狙いです。
こういった設定改ざんや自爆型のマルウェアは以前から存在していましたが、昨年あたりからその数も増えつつあります。
特に悪質なものでは検出処置される際にWindows正規のシステムまでも道連れにし、処置直後にPC自体が正常起動できなくするものもあります。
これは解析されたデータを以後他の事例にも応用されるのを逃れるためにPCを起動不能にすることでリカバリ不可避に追い込むわけです。
それともうひとつ、リカバリに追い込むのは【証拠隠滅】の目的もあります。
解析されたデータをPC内にそのまま残しておくと悪意の者にとっては困るので、最初からそういう【自爆装置】までも組み込んでマルウェアを作成するのも現在の傾向の一つです。
【対処】
では上記の異常に陥った際の対処法のひとつを案内します。
インターネットオプションの「接続」から「LANの設定」を開いてください。
そこで「LANにプロキシサーバーを使用する」の欄を見てください(画像)
ここで該当の項目にチェックが入っていたら、そのチェックを外してください。
外したら下段の「適用」「OK」を押してから、インオプも終了してください。
このあと一度InternetExplorer(IE)を終了後に再度起動して、それでネット接続が回復していればプロキシ設定修復成功です。
ただしユーザー自身が事前にプロキシを使っていた場合はその設定を別のURLになっていないかを含めてしっかり確認してください。
前述の駆除時自爆型マルウェアはこのプロキシ設定を改ざんすることでそこから先のネット接続を阻害することがいくつかの事例でわかっています。
『この改ざんが多発する状況とは?』
主にこのプロキシ設定改ざんは、マルウェア解析処置ツールのHijackThis(HJT)やAdwCleaner(AC)やMalwareBytes'Anti-Malware(MBAM)といったツールでスキャン、処置される際に設定改ざんすることが多く、安易に各ツールを投入してスキャンして、それで検出されたものを全部すぐに削除すればいいというものでもありません。
この3ツールを含む各種作業ツール使う場合には事前にその設定と機能をしっかりつかんだうえで、設定改ざんされても自力で修復するための準備もしておきましょう。
なお、上記のプロキシ以外にも設定改ざんすることで処置を逃れようとするマルウェアも当然多数存在します。
上記はあくまで一例にすぎませんが、最も多い設定改ざん手法でもあるのでこの対処法も見ておいてください
『概要』
ネット上でマルウェア感染して、その処置作業中にネット接続できなくなる事例が多発しています。
これはマルウェアが検出処置される動きを感知したら、そこから先の処置を逃れるためにネット接続を阻害する目的でネット接続不可能にするものです。
ネット接続不能にする目的は、web検索で対処情報を見つけられたり、駆除用のセキュリティツールやそれを配布するサイトへのアクセスやダウンロードも妨害するためです。
具体的には検出されていざ処置されるときに、そのPCの設定を改ざんすることでその先の作業を阻害します。
つまり敵基地に侵入した工作員が見つかって、そこでとどめを刺される時に自爆して、その基地のただひとつの門(出入り口)を破壊して、そこから出ることも入ることもできなくするような狙いです。
こういった設定改ざんや自爆型のマルウェアは以前から存在していましたが、昨年あたりからその数も増えつつあります。
特に悪質なものでは検出処置される際にWindows正規のシステムまでも道連れにし、処置直後にPC自体が正常起動できなくするものもあります。
これは解析されたデータを以後他の事例にも応用されるのを逃れるためにPCを起動不能にすることでリカバリ不可避に追い込むわけです。
それともうひとつ、リカバリに追い込むのは【証拠隠滅】の目的もあります。
解析されたデータをPC内にそのまま残しておくと悪意の者にとっては困るので、最初からそういう【自爆装置】までも組み込んでマルウェアを作成するのも現在の傾向の一つです。
【対処】
では上記の異常に陥った際の対処法のひとつを案内します。
インターネットオプションの「接続」から「LANの設定」を開いてください。
そこで「LANにプロキシサーバーを使用する」の欄を見てください(画像)
ここで該当の項目にチェックが入っていたら、そのチェックを外してください。
外したら下段の「適用」「OK」を押してから、インオプも終了してください。
このあと一度InternetExplorer(IE)を終了後に再度起動して、それでネット接続が回復していればプロキシ設定修復成功です。
ただしユーザー自身が事前にプロキシを使っていた場合はその設定を別のURLになっていないかを含めてしっかり確認してください。
前述の駆除時自爆型マルウェアはこのプロキシ設定を改ざんすることでそこから先のネット接続を阻害することがいくつかの事例でわかっています。
『この改ざんが多発する状況とは?』
主にこのプロキシ設定改ざんは、マルウェア解析処置ツールのHijackThis(HJT)やAdwCleaner(AC)やMalwareBytes'Anti-Malware(MBAM)といったツールでスキャン、処置される際に設定改ざんすることが多く、安易に各ツールを投入してスキャンして、それで検出されたものを全部すぐに削除すればいいというものでもありません。
この3ツールを含む各種作業ツール使う場合には事前にその設定と機能をしっかりつかんだうえで、設定改ざんされても自力で修復するための準備もしておきましょう。
なお、上記のプロキシ以外にも設定改ざんすることで処置を逃れようとするマルウェアも当然多数存在します。
上記はあくまで一例にすぎませんが、最も多い設定改ざん手法でもあるのでこの対処法も見ておいてください
