職場のPC10台のうち5台が、流行中のUSBメモリが媒介するウィルスに感染し、復旧にまるまる4日かかった。
ウイルスバスター、ノートンインターネットセキュリティ、ゼロの最新版でスキャンしたが、いずれも駆除は完全にはできなかった(2009年7月1日現在)ため、4台についてはOSの再インストールを行った。
残りの1台について、手動駆除を試みたのでその経過を公表する。
昔良く使ったコマンドラインから削除するもので、効果は抜群だが、一つ間違えるととんでもない結果を招く。MS-DOS時代からパソコンでシステムを改造していた人ならなんとかなるのではないかと思う。
■1■感染したウィルスの例
名前がわかったのは以下がある。ただし再インストールしたため、感染していながら名前がわからなかったウィルスも多いと思われる。
4tddfwwq0.dll,xvassdf.exe,um.exe,qrqkynb0.bat,ju.com,52f55.mst,q8ot.com,2tq.exe,ykvqe2n.com, xvassdf.exe,3m2.exe,2w2.com,ierdfgh.exe,mmvo.exe,revo.exe
■2■症状
感染したPCに見られる症状の例。どのウィルスによるものかは特定できない。
(1)パソコンの動作がやたらと遅くなる
(2)Cドライブ、Dドライブが開かなくなる。開こうとすると、セキュリティソフトが警告メッセージを出すこともある。(ドライブのダブルクリックでなく、エクスプローラからなら開く。)
(3)インターネットにつながらない、windowsが立ち上がらなくなるなどシステムファイルの破損に起因するトラブルが起こる
(4)「システムリソース不足」というエラーメッセージが出て、PCが動かなくなる。
■3■検出方法(初心者用)
セキュリティソフトが検出してくれないので、手動でやるのが今のところ一番確実。
(1)マイコンピュータ を開く
(2)Cドライブをダブルクリック
・これで変なメッセージが出てドライブが開かなければ確実に感染。ただし、開いても安心できない。
(3)「ツール」→「フォルダオプション」を開く
(4)「表示」のタブを開く
(5)「すべてのファイルとフォルダを表示する」にチェック
通常は「隠しファイルと隠しフォルダは表示しない」になっている。
(6)「保護されたオペレーティングシステムファイルを表示しない(推奨)」
のチェックをはずす
※「表示すると危険」という意味の警告メッセージが現れるが、無視して
「適用」→「OK」のボタンをクリック
(7)Cドライブの中に、今まで見えなかったファイルが10ぐらい出てくる。
※全く出てこなかったら確実に感染している。ウィルスが自分自身を隠すため、不可視の状態を保っている。
※AUTORUN.INFが出てきたら確実に感染。(ただし、AUTOEXC.BATはウィルスでは無い。)
■4■検出方法(中~上級者用)
コマンドをいちいち打ち込まないといけないので、多少面倒だが、使うのはattribとdirの2つのコマンドだけ。ファイルを破壊する心配はないので初心者でもその気があれば試す価値あり。
(1)「スタートメニュー」→「ファイル名を指定して実行」→「cmd」と入力
(2)「c:\******\******>」というコマンドプロンプトが出てくる。*****の部分はシステムによって異なる。
(3)cd \ と入力すると、コマンドプロンプトが「c:\>」に変わる。
(4)attrib と入力すると、Cドライブのルートの中の隠し属性やシステム属性がついて見えないファイルが見える。autorun.infがありSHRの属性がついていたら、感染している。attribは、ファイルの属性を見たり、変えたりするコマンド。属性を変更すると面倒なので、ここでは属性を見るだけの用途で使用する。
(5)type autorun.inf と入力すると下のような文字が出てくる。「***」の部分は、いろいろなファイル名が入る。また、comでなくexeなどになることもある。
open=***.com
shell\open\Command=***.com
(6)autorun.infが見つかったら、Cドライブ(とDドライブ)のどこかに、ウィルスが潜んでいる可能性が大きい。次に、全てのディレクトリからsystem(システム)、hidden(隠す)読み取り専用(read only)属性のついた、ファイルを探す。
dir /a:s /a:h /a:r > shr.txt と入力する。
※dirは、ファイルやディレクトリのリストを得るためのコマンド。dirと入力しただけでは、隠しファイルやシステムファイルは見えないので、/aのオプションを付け。
(7)Cドライブのルートに「shr.txt」というテキストファイルができているので、メモ帳などテキストエディタで開く。
(8)隠し属性やシステム属性の付いたautorun.infが見つかったら、typeコマンドで、全てのautorun.infの中身を見る。その中に書いてあるファイルはウィルスである可能性が高い。
(9)同じ方法をCドライブ以外(USBメモリやUSBハードディスクなど)でも試して見る。
(10)日付が近いものや不審な名前のものはウィルスである可能性があるが、間違えて本物の「システムファイル」を削除すると、重大なトラブルにつながる可能性がある。
■5■削除(上級者用)
「セーフモードで立ち上げる」「ネットワークから接続をはずす」「システムの自動復元機能をオフにする」など基本的な操作を行った上で、コマンドでまとめて削除。
★警告★この操作は「システムファイル」を削除する。コマンド入力に不慣れな人、MS-DOSの基礎的なことがわかっている人以外はしない方が安全。最悪の場合システムが壊れても良いという覚悟がある人、下の説明を読んですぐに自分でできそうだと思う人なら試す価値はある。
(1)使うコマンドは、attribとdelの2つだけ。下の例にならいbatファイルを作り自動実行する。2w2.comとか、2qt.comが削除する対象。検出されたウィルスを全部書く。
attribで不可視属性、システム属性、読み出し専用属性をはずす。次に、delで削除する。
/sスイッチは、サブディレクトリにも同じ操作をするために使う。ルートから実行すると、ディレクトリを全部見に行く。
attrib /s -h -s -r 2w2.com
del /s 2w2.com
attrib /s -h -s -r 2qt.com
del /s 2q t.com
attrib /s -h -s -r 4tddfwwq0.dll
del /s 4tddfwwq0.dll
.
.
.
pause
これを適当なファイル名(例:kilv.bat)で、ルートディレクトリに保存し、実行。
(2)実行した後、リブートして「初心者向け検出方法」を試す。これで、隠しファイルを見ることができるようになっているはずだが、それでも消える場合は、未知のウィルスが残っていることになる。「上級者向け検出方法」で見逃したファイルがあるか、または、S、H、Rの属性を持たないファイルである可能性も捨てきれない。
■6■予防
autorun.infの自動実行を停止する方法を紹介したサイトがいくつかあり、ほとんどを試してみたが、XP環境で絶対と言えるものは見つかっていない。win2000は自動実行停止効果が高いような気がする。
ダミーのautorun.infのフォルダとファイルをあらかじめ作っておくのが有効と書いたサイトもあるが、上書きされてしまう可能性もあり、絶対とは言えない。
最近のコメント