MSR Strider Project
Strider GhostBusterというのはツールのことだったのか、とCRYPT-GRAMを見て知った。原文よく見たら書いてあるし(汗 最初のGhostBusterでのチェック値とPEで起動しなおした時のGhostBusterでのチェック値を比較して検知するので、再起動の時にシステム壊せば検知されませんかね? MSがリリースできないのはWindowsPEを使っているからでは?というのが昨晩の某方とのメッセでの結論でした。 悪意あるソフトウェアの削除ツールでHackerDefenderも登録されたみたいですね。
- 【CRYPTO-GRAM日本語版】GhostBuster
http://itpro.nikkeibp.co.jp/free/ITPro/Security/20050408/158776/
- Windowsユーザーのためのワンポイント・レッスン 第61回 自分の存在を隠すルートキット(rootkit)(ITPro)
http://itpro.nikkeibp.co.jp/members/ITPro/ITBASIC/20050407/158626/
- Strider GhostBuster Rootkit Detection(MSR Strider Project)
http://research.microsoft.com/rootkit/
- The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Server 2003, Windows XP, or Windows 2000
http://support.microsoft.com/kb/890830/
- Malicious Software Encyclopedia: Win32/Hackdef
http://go.microsoft.com/fwlink/?linkid=37020&name=win32/hackdef
追記:
セキュリティホールmemoにて駆除ツールを HackerDefender 1.00でテストをしています。「起動されていた HackerDefender」だけ検出・削除とのことらしい。BlackLigntは検出後にリネームして強制再起動で停止まではできますが、駆除はしてくれないというところか。