USBウィルスとの格闘 

ウィルスが復活



2009年3月の情報になります。

今回分かった事

ウィルスに感染すると隠しファイルとして作成されることがあるのですが、フォルダオプションで「全てのファイルとフォルダを表示する」にしていても見えないファイルやフォルダが作成されてしまうことがあります。
ウィルスに感染した後の現象として「全てのファイルとフォルダを表示する」にチェックを入れても、すぐに元に戻ってしまうということがありますがそれとは別です。
どうやらコレはWindowsXPでは見えないですが、Windows2000では隠しファイルとして確認できます。XPからではコマンドラインでも確認もできないのでやっかいです。

ウィルス対策ソフトでウィルスが確認できたとしても手動削除しなくてはいけないウィルスだった場合、見えないので削除もできません。

そして今回感染したウィルスはパソコンに挿したUSBメモリに不正なAutorun.infを作成し、その不正なAutorun.infによりUSBメモリをパソコンに挿した瞬間に感染させてしまうというものでした。それはUSBメモリだけに限らず、ハードディスクDドライブがある場合にはそのDドライブにも不正なAutorun.infを作成していました。
USBメモリにあるAutorun.infは見えるのにDドライブに作成されたAutorun.infは見えなかったのです。

奮闘記

あるXPの一台のパソコンの感染から被害が拡大しました。
とりあえず、復元ポイントがあったので一番古い復元ポイントに戻してみたのですが完了できませんでしたと出て復元できませんでした。
その後、すべてのドライブでシステムの復元を無効にし、ノートンでハードディスクを全検索して見つかったウィルスを隔離削除しました。加えてディスクのクリーンアップで一時ファイルなどの不要なファイルを削除で作業完了です。その時は2回目のウィルス検索をしましたが発見されず駆除成功かと思いきや、次の日に再びウィルスが発見されたとの報告が!


 

ここである重大なことに気が付いたのです。
USBウィルスは感染したパソコンにUSBを挿した時点でUSBにウィルスが感染し、XPで自動実行を無効にしていない場合、USBウィルスに感染したUSBをパソコンに挿した場合その時点でパソコンに感染してしまうのです。
先にウィルス駆除を行うのも大事だったのですが、誰がその感染したパソコンにUSBを挿したか分からない現状を考えると社内のパソコンの自動実行を無効にする作業も同時に行わなくてはいけなかったのです。

とにかくこれ以上は危険ということで、社内のパソコンの自動実行を無効にして回り、社内でのUSB使用を禁止してもらい対策を練ることにしました。
(Windows で "Autorun レジストリ キーの無効化" の強制を修正する方法)

案1.ノートンで駆除どころか発見できないものがある現状を考えるとリカバリーするしかない。
案2.他のウィルス対策ソフトを使えば問題が解決するかもしれない。

バックアップを取るにも発見できないウィルスがある以上危険です。ウィルス感染を確認できている端末だけでも20台以上なのを考えるとバックアップなしで案1を実行するのは最終手段ということで、案2の他のウィルス対策ソフトを調べてみることに。
ノートン以上の機能を持ったものなどあるのかと思いきや、調べていると評価が異常に高いKaspersky Internet Security 7.0 優待版というのがあり、2008 年 12 月に公開されたテストのレビューでは、Kaspersky Internet Security 2009 が、Norton Internet Security、G Data Internet Security、BitDefender Internet Security を含む 9 つのアンチウイルスソリューションを凌ぎ、最高位を取得しているらしいのです。
その話しをしていたところ、上司がある記事をみてオートランウィルスも感染前にブロックできるという検出率No.1・PC軽快さNo.1のウイルス対策ソフトESET Smart Securityを見つけたのです。
イーセット!?聞いたことがないソフトだったのでカスペルスキーの方がいいのではないかと思いつつも、上司がえらい気に入ったようでウィルス対策実験用PCにイーセットを体験版でインストールすることになりました。

検出率No.1・PC軽快さNo.1のウイルス対策ソフトというだけあり、動作は軽く検索もかなり早い!付け加えてノートンで発見できていなかったUSB内のウィルスにも反応するではないですか!自動実行を無効にしていなくとも、USBを挿して認識されたとたんに、トロイの木馬を検出しパソコンに感染することもなかったです。
ですがやはり安全の為XPの自動実行を切り、社内で感染しているUSBのウィルス検索をするとでるわでるわで大変な騒ぎに。

 


まだ完結はしていませんが、とりあえず収束していっているように思います。
これで発見が収まったからといって完全にウィルスが駆除されたとは限りません。しかし、何十台というパソコンをパックアップ無しで初期化するのは反発が多く不可能だと思われるので、これで収まれば社内のウィルス対策ソフトを入れ替えてそのまま行きそうです。
何かのきっかけで再発したときのことを考えると恐ろしいですが・・・

今回のことでイーセットは信頼ができるウィルス対策ソフトだという事が分かり社内では評判になっています。しかし、これまで使っていたノートンが2002年版の物だったが為にオートランウィルスをブロックできなかったのではないかとも思います。イーセットが優秀で他のウィルス対策ソフトを試していない状態なのでなんとも言いがたいですが、ウイルスバスター2009でもオートランに対する機能は謳っているようです。
2002年版ではダメでもノートン2009なら同じような機能があるのかもしれません。
ただ今回の騒ぎで会社内ではイーセット・スマートセキュリティーに乗り換えるような雰囲気になってます。
ウィルス対策真っ只中の人はイーセットの体験版で試してみるのもよいかもしれませんね。

最終的に行った手順

※社内XP端末にはノートンがインストールされており、システム部内には1台イーセットがインストールされているWIN2000の端末とノートンがインストールされているWIN2000の端末が何台かある状況下での実施になります。ウィンドウズの挙動がおかしくなったり起動しなくなったときは再インストールしてよいことを前提として作業しています。※

1.とにかく先に gpedit.msc を実行し自動実行を無効にする(+ KB967715)。
2.復元ポイントを確実に感染していないポイントに戻してみる。

3-1.復元ができた場合

ノートンが正常に動作するか確認する(ウィルス検索ができるか、定義ファイルを最新に更新できるか)
接続ドライブに怪しげな隠しファイルが残っていないかWIN2000から入り確認する。
最終的にウィルス検索を全てのドライブで実行し発見しなければ完了?

3-2.復元ができなかった場合

Administratorでログインする。
マイコンピュータを右クリック[プロパティ]-[システムの復元]-全てのドライブで復元を無効にするにチェックをいれてOKする。
ノートンの定義ファイルが最新であることを確認して全ドライブウィルス検索
C,Dドライブのプロパティからディスクのクリーンアップで削除できるものは全て削除
IEのインターネットオプションからクッキーの削除+ファイルの削除
セーフモードでC:WINDOWS/TEMPファイルの削除
C,Dドライブを新しい共有で共有し、イーセットで外部からウィルス検索(これはドライブ内に入ってしまうとXPからでは可視できないファイルやフォルダが検索できない為です。)
イーセットでウィルスを発見して駆除できなかったものは、WIN2000から手動削除する。
全てのドライブで復元を無効にするのチェックをはずす。
これで完了!?

発見されたウィルスの脅威とファイル名

Trojan.Ramag
   uu[1].rar
W32.Gammima.AG
   f.com
   j.exe
   kqa.bat
   v91qw.com
Infostealer.Lineage
   teau.com
Intostealer.Gampass
   A00XXXXX.exe(Xはランダムな数字)
   A00XXXXX.dll(Xはランダムな数字)
   pytdfse0.dll
   ierdfgh.exe

挙動がおかしくなったパソコン

ウィルスに感染しているパソコンでのみ起きた現象

・スクリプトを使用してパワーユーザからアドミニストレイター権限の作業をするとフリーズする。
・ウィルス対策ソフトが誤動作、又は起動しない。
・復元ポイントがなくなっている、又は復元ポイントがあるのに復元できない。

最後に

ウィルス対策ソフトはウィルスに感染しないようにウィルスかどうか調べてくれるソフトであり、ウィルスに感染した物を完全に駆除してくれるソフトではありません。ウィルスに感染してしまった場合、以後安全に使用したいのであればすぐに初期化、フォーマットして使うのがよいでしょう。
ネットからダウンロードしたらすぐにウィルスチェック!
リムーバブルディスクを使用する場合は、自分のパソコン以外に挿したらすぐに検索する。他人のリムーバブルディスクを使用する時はウィルス検索をしてから使用する用にしましょう。

USBウィルスの場合、自分のはUSBは大丈夫と思っていても感染したパソコンに挿してしまえばそれでおしまいです。
ウィルス感染は他人のせいではなく自分の注意の無さからなるものなのです。

関連記事



カスペルスキー セキュリティ

ウイルスバスター公式トレンドマイクロ・オンラインショップ

シマンテックストア

この記事へのコメント

Re: USBウィルスとの格闘

McAfee社ワクチンもお試し下さいませ。
http://www.mcafee.com/japan/downloads/
VirusScan Enterprise 8.7i お試し版

Re: Re: USBウィルスとの格闘

> McAfee社ワクチンもお試し下さいませ。
> ttp://www.mcafee.com/japan/downloads/
> VirusScan Enterprise 8.7i お試し版

コメントありがとうございます。
個人用のフリーの方ではまったく反応しなかったですが、エンタープライス版では対応可能ということでしょうか。
現在はESETのみの対応で、収束し復活の様子は無いので問題なさそうです。

直リンはどうしても危機感を感じてしまう為、再び禁止させて頂きました。
  • [2009/04/09 15:55]
  • URL |
  • 管理人わーとん
  • [ 編集 ]
  • TOP ▲

コメントをお寄せ下さい

(コメント編集・削除に必要)
(管理者にだけ表示を許可する)

トラックバック

この記事のトラックバックURL
http://z0001.blog87.fc2.com/tb.php/26-360ff1cc