マルウエアに感染 無事脱出

自宅のPCがマルウエアに感染していましたが、無事脱出に成功しました。

マルウエアは悪意のあるコードの総称です。
自宅のPCでは、ブラウザとしてGoogle ChromeとInternet Exploreを使っています。
いずれもが起動時に、見慣れないサイト「search.sidecubes.com」を開きました。
新たにタブを開いたときも、常にそのサイトを開くようになっていました。
感染経緯から、どこかのサイトを閲覧した際に感染したようですが、それは今更、特定できません。

もちろん、ウイルス対策ソフトウエアは導入していました。
PC購入時に添付されていたKINGSOFT社製のものです。
もちろん、この種のソフトウエアがすべてを守ってくれるわけではありません。
念のため、全ドライブ検索をしましたが、問題なし。

これをAvast!に変更したところ、いくつかの脅威を検出し、隔離に成功しました。
実際、これ以降、ブラウザに新たなタブを開いたときには問題のサイトを開かなくなりました。
実際、タスクバーの通知領域にあった「タブ」「？？？（忘れた）」のチェックボックスを表示する謎のアプリケーションが消えていました。
ただし、ブラウザ起動時に、どうしても開いてしまう。
ブラウザの機能拡張を外しても効果がありませんでした。

ブラウザはいくつかのショートカットを持っています。
Windowsの場合、プログラムの中とタスクバーの２カ所は、あるはずです。
たまたま、一方での起動時に、問題のサイトが開かないことが分かりました。

コンピューターには「引数」という概念があります。
特定のプログラムを動かすときに、一定の条件を与えるためのものです。
Windowsは見た目が新しいけれど、裏の動作はDOSと同じなので起動時の「引数」を疑い、ショートカットのプロパティを見ると、プログラムの実行ファイル名の後ろに「%SNOOP%」と書かれているではありませんか。
これを外すと、問題なく起動するようになりました。

でも、気持ち悪いので、「引数」が何か知りたくなり、ファイルを検索したのですが見つかりません。
でも、「スタート」を押して、「プログラムとファイルの検索」に「%SNOOP%」と入れると、

http://feed.snapdo.com/?publisher=con&co=JP&userid=8152E09C-9EE9-76C7-C41D-C1443790D0C2&searchtype=sc&installDate=19/05/2015&channelid=001

と表示されました。

ムムム。

つまり、Windowsのシステムが、%SNOOP%とこのURLを同一視していたのです。
レジストリーエディターでこのURLを検索すると、%SNOOP%を発見してしまいました。

許せん！

レジストリーから消去して差し上げました。
でも、対応は節足だったかもしれません。安易にレジストリを書き換えるのは、その後の不具合を招くことにもなりかねません。
%SNOOP%を別のURLに書き換えれば良かったと反省しています。

さて、本題に戻ると、%SNOOP%が与えているのは上記URLであって、「search.sidecubes.com」ではありません。
つまり、上記URLが「search.sidecubes.com」に転送（リダイレクト）していることが分かります。
転送先を変えれば、より危険なサイトを強制的に表示させることが可能です。

これらのドメイン（sidecubes.com or snapdo.com）を見かけたら、ご注意ください。