KasperskyのRescueCDを使ってみる

用意するもの
・ネットワーク環境
　Proxy経由または直でインターネットに出られること
　原則、他のPCが繋がっていないこと
　インターネット側からは見えない状態になっていること
・（可能であれば）KasperskyのCDを焼くための専用PC
　クリーンな状態で作りたいので、潰してよい物
　どちらにしろ有効期限30日なので、作業終了後、潰すことになります
　※専用機が用意出来ない場合、トライアル版のアンインストールでも可（推奨はしません）
・ISOイメージのライティングソフト
・CDブランクメディア１枚
・感染レポートを受け取るサーバ
　scpでファイルを受けることが可能な物
　準備出来ない場合は、紙に書き出すなり適当に
・古いノートPCでGUI画面が見えない時は、外付けディスプレイも使います

ISOファイルを入手するためのPCを（可能であれば）用意する
　クリーンな環境（他のPCからアクセスされない独立した環境）を用意する
　※他PCが見える状態だと、OSインストール直後に感染するため
　OSを入れる
　※ウィルス対策ソフトは入れない
　IPアドレス（DHCPな環境なら不要）とIEにProxy（必要なら）の設定をする
　Windowsのパッチを全てあてる

Kasperskyのトライアル版を入手する
　http://www.kaspersky.com/downloads に行く
　※日本語版はNG（レスキュー版作成部分が外されているため）
　30日トライアル版をダウンロードする

Kasperskyをトライアルとしてインストールする

Kaspersky Internet Security 2010 を起動する

Proxyの設定をする（直接インターネットに出られない場合）
　ウィンドゥ右上のSettings押下
　左ペインの My Update Center を選択
　右ペインの Update Source の Settings 押下
　Proxy Server ボタン押下
　Proxyサーバの設定をする
　OKボタンでメイン画面まで抜ける

Security+ タブ押下

Create Rescue Disk を押下

Download ISO image from Kaspersky Lab server を選択し、ISOイメージをダウンロード

ISOイメージ rescuecd.iso が以下のディレクトリに入っているので、適切なライティングソフトでブータブルCDを作成する
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Rdisk

作成したCDで対象機を起動する（この時点ではLANには繋がない）

KNOPPIXが立ち上がります
※古いノートPCで、OS起動後に画面が真っ暗になってしまう（Xが使えない）場合、外付けディスプレイを繋いで再起動下さい

IPアドレスの設定をする（DHCPな環境の場合は、不要です）
　パラメータ例（それぞれ、自分の環境に合わせて下さい）
　　IPアドレス 192.168.0.3
　　netmask 255.255.255.0
　　デフォルトゲートウェイ 192.168.0.1
　　DNSサーバ 192.168.0.2
　　デフォルトドメイン hoge.com

　ターミナルを開く
　　画面左下の『K』をクリックする
　　Terminalを選択

　IPアドレスの設定
　　Terminalで以下操作
　　# ifconfig eth0 192.168.0.3 netmask 255.255.255.0
　　# route add default gw 192.168.0.1
　　# echo > /etc/resolv.conf
　　domain hoge.com
　　nameserver 192.168.0.2
　　^Z（CtrlキーとZを押す）
　　※resolv.conf編集中に打ち間違いをした時は、Ctrl-Zで抜けて
　　　ちゃんと出来るまで繰り返して下さい

　ここで始めてLANケーブルを繋ぐ

　IPアドレス設定の確認
　　# ping 192.168.0.1 が通ること
　　# ping www.iij.ad.jp で正常にIPアドレスが引けること

Proxyの設定をする（インターネットに直接出られない場合）
　Kasperskyウィンドゥ右上のSettingsを押下
　左ペインのUpdate押下
　Settingsボタン押下
　Proxy Serverボタン押下
　Proxyサーバの定義をする
　OKボタン３回でメイン画面まで抜ける

パターンアップデート
　KasperskyウィンドゥのUpdateタブを選択
　Updateが完了するまで放置

スキャン
　KasperskyウィンドゥのScanタブを選択
　Boot Sector とドライブを選択して、スキャン開始
　お茶を飲みながら待って下さい
　検出された時は、駆除するなり放置するなり、ご自由に

検出された時
　Reportボタン押下
　Saveボタン押下
　/に適当な名前で保存する（ハードディスクではなく、RAMディスクに書かれます）
　scpで適当なサーバに転送して、取り出す
　scpが使えない場合、画面を撮影するなり、メモるなりする

セーブしたレポートはこんな感じになります↓
Scan: completed 2/12/10 9:50 AM (events: 4, objects: , time: 00:00:00)
2/12/10 8:52 AM Task started
2/12/10 9:02 AM Detected: Trojan-DDoS.Win32.Agent.bs /discs/C:/RECYCLER/S-1-5-21-***-***-***-***/spoolsv.exe
2/12/10 9:02 AM Untreated: Trojan-DDoS.Win32.Agent.bs /discs/C:/RECYCLER/S-1-5-21-***-***-***-***/spoolsv.exe Skipped by user
2/12/10 9:50 AM Task completed