攻撃を受けています

会社のファイル共有サーバが突然再起動した。どうやらウィルスか何かの仕業のようだ。
サーバとネットワークのメンテナンス会社に拠れば「サーバの感染ではなくネットワーク側からの攻撃のようだ」ということだったので一頻り各PCをスキャンするが検出なし。そうこうするうちに複数回の再起動が発生したので、サーバのログからアクセス源を特定できないものかと調べてみることにした。
そこで目にしたのは次々に開くIEの窓と簡体中国語の言語パックインストール要求。どうやら中国語圏のサイトに接続しているらしい。間違いなくサーバ自身の感染だ。
最初にIEのシャットダウンを試みるが反応しない。タスクマネージャで強制終了した瞬間、システムが再起動。ブルースクリーンからも再起動したところを見ると深いレヴェルで仕込まれているっぽい。
方針を転換してネットワーク設定からデフォルトゲートウェイを書き換えて外部へのアクセスを遮断する。これで取り敢えず、ウィンドウが勝手に開くことも再起動することもなくなったようだ。
見るとデスクトップに「KKTONE」という見慣れぬアイコンがある。こんなものを入れた覚えはない。
検索してみたら中国語の情報しかない。ビンゴだ。
翻訳によれば、どうやらMP3をダウンロードしてくるような系統のソフトらしいのだが、それ自体にトロイでも仕込まれているのか、それとも有名ソフトを騙ったマルウェアなのか。