ウィルスの感染経路
○本来はネットゲームのデータダウンロード時に添付され各端末に配備されたとされる。
○脅威なのは、このウィルスがUSB記録媒体(USBメモリー、USB経由で読み書きされた全てのフラッシュメモリー、MO、など
を感染媒体とし、爆発的に感染拡散することで、USBポートからの進入であるため、各種の対ウィルスソフトが検出したと
きには、すでに感染発症していることが多い点である。
○感染発症したパソコンにUSB媒体を接続すると、ほぼ瞬間的にUSB媒体が感染する。ただし、書込み禁止スイッチのつい
たUSBメモリーやSDカードで、書込み禁止に設定されている場合は感染しない。(接続拒否される場合もある)
○感染したUSB媒体を、感染していないWindowsパソコンに接続すると、瞬時に感染するが、発症までの時間は数秒から数
日と一定していない。
△感染はWindows OSに限られるが、OSのタイプにより必ずしも即座に発症するわけではないようである。
○このウィルスはファイルの形にはなっているが、通常の設定のWindowsパソコンでは表示されず(システムファイル属性)、
また感染後は設定を見える状態に変えてもウィルスによってブロックされ、設定を変えることはできなくなる。
○このウィルスによる被害は、このウィルスのタイプが「トロイの木馬型」であることに代表される。つまり各種の個人情報、暗
証番号、パスワード、導入しているソフトの一覧住所録などを、「お土産パック」され、目的サイトに自動送信される。
○このウィルスは自動的に「母サイト」にアクセスし、アッパーバージョンのウィルスを自動的にダウンロードし、自らバージョン
アップする。
○感染末期になるとマシンのスレッド(仕事へのCPU利用率)を消費し、異常に起動や動作、終了が遅くなる。場合によって
は、ウィルスのみによってスレッドが100%に達し、パソコンが常にオーバーヒートに陥り、マシンを破損することもある。
★上記は全て筆者により確認されている。
○筆者は未確認であるが、末期には外部から直接進入され、制御を乗っ取られた例が、病院、学校、などで見られるそうで
す。(病院によっては電子カルテ化をLANではなくUSBメモリーで行うことで、個人情報の保全しようとしたことが裏目に出た
らしい)
***************************************************
○確認方法
★ C:、D:、あるいはUSB媒体のルートディレクトリ(最上層 以下単にルートとする)に、autorun.inf (すべて半角)ファイルを
作成またはコピーなどで置こうとしたとき、「上書きの確認」のメッセージが出る。
(上書きは可能だが、数秒でウィルスのautorun.infが上書きされ、表示できなくなる)
★ 同じくルートに autorun.infのファイルがないことを確認し、autorun.infという空フォルダを作成しようとしたら「できません」
のメッセージが出る。
★ コントロール・パネル→フォルダ・オプション→表示 の各チェックマークのうち「全てのファイルを表示」にチェックし、
「システムファイルを表示しない」のチェックマークをはずしても各パーテションに「RECYCLER」と
「System Volume Information」の半透明のフォルダが表示されない。(各パーテションには必ずこの2つの隠しフォルダがあ
る。フラッシュメモリーにはRECYCLERがある場合がある)
★★これらのどれかに該当する場合、確実に感染発症しています。
○感染したパソコンは上記のように、学校の設備や周辺の人々に多大な迷惑をかけます。
一切のネット接続を行わず、一切のUSB媒体を使用しないのであれば、放置しておくのは個人の自由ですが、そうでないな
ら、早めに対応することをお勧めします。
***************************************************
現在のところ感染後に有効な対策ワクチンがないため、下記の除去ができない場合、OSのインストールからやり直す必要があります。
しかしながらどうしてもレジストリを操作する必要があり(操作しなくても排除は可能だが)、レジストリの操作は、間違うと起動すら困難になるので各自の責任において行ってください。
***************************************************
ウィルス無能力化(除去)作業のあらまし
0)必要なユーザーデータを退避させる。
戦力の調達として、有能なプログラムとダミーファイル、ダミーフォルダを用意する。
1)作業に先立ち、コントロールパネル→システム→システムの復元→で、「全てのドライブでシステムの復元を無効にする」にチェック。
2)パーテションそれぞれに置かれた、見えないautorun.infの記述内容を読み取る。
3)レジストリの起動登録を調べ、記述内容を読み取る。
4)全てのパーテションのautorun.infの無効化
5)レジストリの起動登録と常駐ウィルスを抹消する。
6)リカバリーがある場合は復元。
7)レジストリ変更とダミーフォルダの設置
○ 作業前にツールセットを作成する。
★ウィルスの所在を知るには、サーチプログラムを用意(SGSerch.exeを推奨)
http://www.vector.co.jp/soft/win95/util/se375013.html
vectorから「サーチ」をサーチ、SGサーチのタイトル
★マシンパワーが強力な場合は、CPU負荷テスト用のプログラムやベンチマークテスト用
プログラムを走らせることで、故意にスピードを低下させると作業が容易になる場合も。
(CPUload.exeを推奨)http://estu.nit.ac.jp/~e982457/freesoft/freesoft.html
★ウイルスを捕獲しようなど、考えてはいけません。
☆これらを書込み禁止スイッチ(ハード)のついたUSBメモリーやSDカードに入れ準備する。(感染を覚悟するなら、書込み禁止なしでも可)
☆以下のダミーファイルとダミーフォルダ、レジストリエントリ・ファイルも、正常なPCで作成しUSBメモリーやSDカードに入れ準備しておくと作業が楽になる。(ただしレジストリエントリファイルの丸ごとエントリは、同じアーキテクチャー、同じソフト構成の場合にのみ可能。異なるものをエントリすると一発でポンコツPCになってしまう可能性が大きい)
○ メモ帳で任意のコメントを作成し、autorun.inf とそこから読み取ったファイル名の名称でセーブ。
○ ダミーファイルという名称のフォルダを作成し、この2ファイルを移動・格納。
○ autorun.infという名称のフォルダを作成。その中に同名のフォルダを作成。
○ 同様に読み取ったウィルス名の名称のフォルダを作成。その中に同名のフォルダを作成。(それぞれのフォルダの中に、このフォルダがダミーであることを示す説明文を入れる。フォルダは空であるより、ファイルとフォルダがあるほうが堅固)
○ 下記の"nrm_show.reg"エントリファイルを作成しておく。
リムーバブル
┃
┣━━ autorun.inf ダミーフォルダ ━━ 任意ファイル
┃
┣━━ y.com ダミーフォルダ ━━ 任意ファイル
┃
┣━━ ダミーファイルフォルダ ━┳━ autorun.inf ダミーファイル
┃ ┗━ y.com ダミーファイル
┃
┣━━ nrm_show.reg ファイル
┣━━ CPUload.exe
┣━━ e_d.exe
┗━━ SGSerch.exe
注意)ウィルスファイルを早く退治したいのはわかりますが、このウィルスはルートにいるものとsystem32フォルダにいる本体とで名前が違い、また、ときに名前がかわることがあります。(2)(3)の名前を知るステップはきわめて重要です。あせらず相手を見極めましょう。
(2)進入したウイルス本体のファイル名を読み取る。
感染パソコンのメモ帳を起動し、任意のパーテションのルートにあるはずのautorun.infをファイル名入力し内容を読み込む。
(一覧に表示が無くても、そこにあれば読み込める)
一例を示す。
"autorun.inf"・・・実際に捕獲したものです
[AutoRun]
open=eraoypyt.exe
shell\open\Command=eraoypyt.exe
このような書式で書かれているのであるが、この場合ウィルス本体の名称は"eraoypyt.exe"であることがわかる。y.comではないが、このeraoypyt.exeはy.comが作り出す偽名である。
この名称は、後片付けのときにsystem32の中にあるウィルス本体や.dllを抹消するときに役立つので必ずメモをとっておく。あるいは内容をコピーし別のメモ帳に貼り付け、テキストファイル化しておく。
(3)レジストリの起動常駐登録を調べ、組み込まれたウィルスファイルの場所と名称をエクスポートしておく。このエクスポートしたファイルは拡張子を.regから.txtに変更するとメモ帳で開くことができる。
○ 「スタート」→「ファイル名を指定して実行」、記入欄に regedit と入力し「OK」
○ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run を表示し
「ファイル」→「エクスポート」 ファイル名と書き出し場所(一般的にはデスクトップ)を入力し、ファイルを書き出す。
○ ファイル名の拡張子を.regから.txtに変更する。
○ メモ帳を起動し、書き出したファイルをドロップ。→Run の内容が表示される。
★ ctfmon.exe、BgMonitor_{796~、の項目は正常なセット(XP sp1)にある登録だが、kmmsoftやxxxxsoftの項目はウィルスのもので、その右側にアドレスが記入されているので、怪しいものはすべて書き取る。
★ レジストリの復元は行う方が良いが、とにかくウィルス本体を排除することが先決。
(4)☆末尾のパーテションからウィルスの起動無効化を行う
* ここから先は手早く作業を行わなければならない。
故に、この2ファイルと2フォルダはデスクトップと、エクスプローラなどに分けて表示しておく。同名なので同じ階層には同居できない・・・・これがミソ
要約)見えないウィルスファイルを同名の見えるダミーファイルで上書き→そのダミーファイルを抹消→空きができたすきに同名のダミーフォルダを設置(Windowsの基本仕様である、消去できない属性のファイルでも同名のファイルで上書きが可能、と同じ名称のファイルとフォルダは相互不可侵であることを利用する。したがって相手の名前を知ることが重要なのである。)
(またウィルスが作成した見えないautorun.infファイルがある間は、同名フォルダを置くことができないので、一旦ファイルで上書きし、それを抹消し直後にフォルダを設置する)
具体手段)
○ (C:D:の2パーテションがあるとする) D:のルート(最上層)をエクスプローラで表示しドラッグアンドドロップで「autorun.inf ダミーファイル」をD:に落とす。
○ 上書き許可の選択表示が出るので、「はい」とし、すぐに、shift+delで消去する。
○ すぐに「autorun.inf ダミーフォルダ」をそこへドロップ。
☆ 「できません」のメッセージや、フォルダアイコンが消失した場合は、失敗。
成功したときにはそのまま「autorun.infのフォルダ」が表示される。(フォルダが正常に設置できてもウィルスのパワーが強い場合、アトリビュートが変更され不可視にされる場合もあるが、SGSerch.exeでファイルに化けていないなら設置は成功)
失敗の原因は、上書き許可の選択からフォルダのドロップまでの作業時間が遅すぎるためなので、操作イメージを反芻し、何度でもダミーファイルのドロップから挑戦する。この作業の制限時間は、3秒~5秒以上あるので、落ち着いて行えば容易。
(マシンパワーが強力で、この時間が短時間過ぎる場合、CPUload.exe DNA 氏作などでパワーを消費し時間をかせぐ)
○ 同様の置き換え作業をC:についても行う。
Windowsから見えるリカバリ領域がある場合は、先にその部分についても、この置き換え作業を行う。(acronisの場合、セキュアゾーンにウィルスは入れないので不要)
☆☆ウイルス本体(インストーラ:eraoypyt.exeやy.comなどの)についても、この置き換えは可能だが、メモリー常駐しているウィルスが必死で置き換えたフォルダを上書きしようとし、CPU利用率が一気に100%に達し、マシンのオーバーヒートやハングアップにつながりかねないので、この段階でのウィルスインストーラへの処理は得策ではないようである。ウィルスインストーラの削除処理はファイル表示が可能になってから行うとスマートである。
(5)常駐ウィルスファイルの無効化と、レジストリの起動登録を抹消する。
○ (3)で読み取ったウイルスの名前をサーチプログラムに入力し「ファイルサーチ」を行う。検出できたら、ファイルにカーソルを合わせ、右クリックしゴミ箱へ移動する。
○ (3)で見つけた怪しい起動登録を削除する。(先のエクスポートファイルがあれば、間違って必要な項目を消去しても、ファイルをインポートすれば復元できる)この作業からマシンの再起動の間、あまりのんびり作業すると、せっかく削除と修正を再び書き戻されてしまうので、手早く行う。
<<<<マシンを再起動>>>>
(終了できない場合は強制終了)
(6)○☆ この文章はユーザーが、何らかのリカバリデータを持っている(ノートン・ゴースト、アクロニス・トゥルー・イメージ、各PCメーカーが装備したリカバリシステムなど)ことを前提としているので、ファイル→フォルダの置き換えが終了した時点で、リカバリの書き戻しを行うとする。
○ システムファイル属性を表示できるようにし、各パーテションのルートを調べ、残ったウィルス(.exe)やy.com や autorun.inf の残骸を shift+delで抹消する。下記表、資料を参照。
☆ 通常Windows XPのC:には不可視のシステムファイルとして、autoexec.bat、 boot.ini、bootfont.bin、 CONFIG.SYS、 hiberfil.sys、 IO.SYS、 MSDOS.SYS、 NTDETECT.COM、ntldr、 pagefile.sys、RECYCLER、System Volume Informationなどがあるが、これらを誤って削除しないよう注意。
☆ リカバリが無い場合
ウィルスが書き換えたレジストリを元に戻し、ウィルスが作成したお土産ファイル(名称は HEXcode+Y.COM なぜか大文字で複数作成されているはず、)を抹消し、関連すると思われるREVOの文字列をファイル名に含むファイルを削除。ですが、このあたりの作業は相当に大変です。(マイクロトレンド社のサイトなどで公開されている)
こんなときのためにも、システム・リカバリを備えましょう。
(7)************レジストリ修復とウィルスの削除************
○ 再起動し下記nrm_show.regを実行するか、記述のレジストリを手動で修復。
○ もう一度 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に怪し
い登録がないか調べあれば削除
○ 「スタート」→「ファイル名を指定して実行」→msconfigを入力→スタートアップを表示し、怪しい登録(ウィルスファイル名に関連する)のチェックマークをはずす。
★ レジストリを書き換えても、一般的に再起動しなければその設定は有効にはならない。(しかしウィルスは再起動なしに有効化してしまう・・・・)
<<<<再起動>>>>
○ コントロールパネル→フォルダオプション→表示 の全てのファイルを表示にチェック
同 システムファイルを表示しない のチェックをはずす。
○ この状態で隠しファイルやシステム属性のファイルを、表示可能な状態まで回復したはずである。
***********
★後片付け
○ 各ルートにあるウィルスファイルをshift+del で削除
○ サーチエンジンで常駐ファイル名(拡張子なし)を検索し、あれば削除。(通常同じファイル名の.dllが存在するので、削除)
○ [HKEY_CLASSES_ROOT\CLSID\MADOWN] の項目がある場合、項目ごと削除。
○ 下記autorun.reg レジストリをb5に変更し、USB自動起動を禁止しておく。
予防のため、各パーテション、すべてのUSBデバイス(SDカードなどすべて)にautorun.infという名称のフォルダを設置しておく。フォルダの中に同名のフォルダと簡単なテキストファイルを入れておくと、ウィルスの攻撃に対しても強度が向上する。
*絶対に阻止できるわけではないので注意する。
むやみに見知らぬUSBメモリーを無節操に接続しないよう努めたいものだ。
nrm_show.regというエントリ・ファイルはウィルスが書き換えたレジストリを標準セットに書き戻すためのファイルで、内容は(XPプロフェッショナルの場合)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CLASSES_ROOT\CLSID\MADOWN]
"urlinfo"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kmmsoft"=sz:"C:\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
です。(このままメモ帳にコピーしnrm_show.regの名前でファイル化する)
使用方法は
○ nrm_show.regを実行後に
○ 以下のキーに
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
既定
ctfmon.exe
BgMonitor_{796~
HddAdmpr.exe
などこれら「以外」の項目、例えば、
kava.exe
mmvo.exe
kavo.exe
Revo.exe
kmmsoft
kxswsoft
などの怪しい実行ファイルとの関連付け項目があれば、項目ごと削除する。
○ 以下のキーを削除
[HKEY_CLASSES_ROOT\CLSID\MADOWN]
(このキーはウィルスによって作成されている場合は、nrm_shown.regの実行で上書きを、ウィルスによる作成が無い場合もnrm_shown.regの実行で作成される)
☆ de_autorun.reg の内容は
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
で、nrm_show.regの最後のエントリと同一です。
USBデバイスが接続されたときに、自動起動(autorun.infとは無関係)を阻止できるとされているが、そのパソコンにとって始めてのデバイスであった場合は、「新しいデバイス」として起動してしまうことに注意。
** nrm_show.reg エントリを実行し(ダブルクリック)、レジストリを書き戻す。
*パソコンを再起動し沈静化しているか、不可視ファイルが表示できるようになったかを確認する。
**沈静化していない場合は残ったウィルスによって、再びレジストリが変更されたので、nrm_show.regを実行し受付表示がでたらパソコンを「強制シャットダウン」(電源遮断可)する。
*その後起動し
*system32の中の怪しいファイル(下記)を、必ず「ひとつずつ」shift+delで消去。
注意 system32フォルダの中身もレジストリも、パソコンの聖域で、誤った消去は致命的状態につながるので、十分注意してください。
☆削除の方法は、サーチプログラム(SGSerch.exeなど)で見つけ出し、ひとつずつゴミ箱にはねて、ひとつずつshift+delで消去。
++念のため nrm_show.regを再実行。
★予防として「全て」のパーテション、外付けメモリー類、外付けドライブ類のルートにautorun.infを設置するべき。
★また、この種のウィルスに対抗するため、パソコンの表示設定を不可視またはシステム属性の表示もできるように設定すべき。
巻末資料
○消去しなければならないファイル(マイクロトレンド社サイトより)
WindowsシステムフォルダとはXPではsystem32
* <Windowsシステムフォルダ>※\ierdfgh.exe
* <Windowsシステムフォルダ>※\pytdfse0.dll
* <Windowsシステムフォルダ>※\revo.exe - 自身のコピー
* <Windowsシステムフォルダ>※\revo0.dll - 「TSPY_ONLINEG.FHQ」
として検出されるDLLコンポーネント
* <Windowsシステムフォルダ>※\revo1.dll
また、別のサイトでは・・・・・・
C:\\autorun.inf
C:\o6mhfog.com
C:\q83iwmgf.bat
C:\t2yev.com
C:\uvg.com
C:\8e9gmih.bat
C:\cx820
C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\UU.EXE-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
"%System%\\\\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"
"%System%\pytdfse0.dll"
"%System%\pytdfse1.dll"
これら全てを検索消去は大変ですが、消去しなければ再発の可能性あり。
ちなみにrevo0とかrevo1とか末数が付くのは、おそらく対策者が、ウィルスが活性なうちにその名前のダミーフォルダを設置したため、ウィルスが次番のファイルを作成したものと思う。この表の.exeや.dllがすべてあるわけではない。
様々な名前があるが、これ以外のファイル名も見たことがある。ちなみにどのようなファイル名が使用されているかは、autorun.infに記入されているので、やみくもにautorun.infを殺さず、名前を読み取ってからフォルダに置き換えたいものだ。
USB拡散ウィルスで作られる、その他のファイル(転載)
↓以下のファイルはウィルスと思われるので、削除してください。*印は本校でも確認。
「s2.com 107KB」 *
「w.com 107KB」 *
「owaooew.com 117KB」 *
「vyj9i9gl.com 104KB」
「y.com 116KB」 *
「3u.cmd 105KB」 *
「ampfrb.cmd 106KB」
「2j.cmd 114KB」
「a81lkgv.com 107KB」 *
「f.exe」
「hbs.exe」
「ampfrb.cmd」 *
「hbs.exe」
「s2.com」 *
「f.exe」
「w.com」
「kxswsoft」 *
「cx820」
「3yseow89.exe」
「autorun.inf」 *このファイル名は正常なインストーラにも含まれる
「ierdfgh.exe」
「uu[1].rar」
「klf.sys」
:\windows\フォルダ
「AhnRpta.exe」
c:\windows\system32\フォルダ
「ierdfgh.exe」
「revo.exe」 *
「revo0.dll」 *
「revo1.dll」
「ddl.exe」
「pytdfseo.dll」 *
これ以外の本校発見ものでは
「eraoypyt.exe 107KB」
上記のウィルスファイルのいくつかは同じもので
ウィルスが自ら作成した偽名である。
巻末資料2
このウィルス感染の手順
このウィルスについて、筆者が感染実験等で確認したことのメモ書きで、一部に推論が含まれる。また、同じタイプであっても微妙に挙動が異なるタイプがあり、必ずしも以下の手順を踏むとは限らない。
○ 本来このウィルスはネット・オンラインゲームのデータダウンロード時に同行し、初期感染したとされるが、この部分に関して筆者はまったく未確認である。
○ 初期状態は、USB媒体のルートディレクトリに autorun.inf と y.com(例)がはいっているとする。
被感染パソコンの初期状態はC:とD:の2つのパーテションがあるとし、いずれのルートにもautorun.inf や y.com のファイルやフォルダが無いものとする。
1)autorun.inf は autoexec.bat などと同様にOSから見たときに特別な起動権を持ったファイル名である。一般的には各種のソフトウェアやハードウェアに附属の「インストール」ディスクのルートに配置され、故にこれらのCD-ROMを光学ドライブに入れると、自動的にインストーラ・ウイザードが起動する。ファイル形式はプレーンテキスト(メモ帳で読み書きする)で書式はMS-DOSのバッチファイルと近似である。
これと同様に、ウィルスのautorun.inf にはy.com を起動する旨が記述されている。従ってWindows OS がautorun.inf を見つけると、禁止設定がなされている場合を除き、自動的にy.com を実行する。
2)y.com が実行されると、C:のsystem32 フォルダ(WindowsXPの場合)にウィルス本体であるREVO.exe と revo.dll (例)が作成され、同時にメモリーにも実行部分が常駐する。
このときにWindows のバージョンが異なり、system32を使用しないタイプで無い場合でもウィルスは正確にインストールを行うので、フォルダを直接指定しているのではなく、インストールの正しい手続きをOSに打診し、処理を行っていることがわかる。
3)同時に一連のレジストリ操作が行われる。これは起動登録とファイル・フォルダ属性による不可視設定であるが、この不可視設定は単なる切り替えではなく、常駐的に設定を監視し、手動で可視設定されると同時に不可視に切り替えるようで、このウィルスの重要な常駐作業の一つのようである。この作業はメモリー常駐部分または.dllが行っているようだ。
このステップまでは感染から瞬時にではなく、数秒から数分以上かかるようである。
4)不可視設定と同時に全てのパーテション、USBデバイスのルートに autorun.inf と y.com(異なる名称の場合もあるようだ)が作成される。以後この2つのファイルは一定時間毎に上書きされるようである。(数秒から数十秒ごと)この上書きプロセスにおいて、ウィルスはエラー処理を行っており(y.comについて。autorun.infについてはあまり関心がないようだ)、上書きができない場合(フォルダなどで置き換えらていた場合など)、全力で書き換えを試みる。無論フォルダをファイルで上書きすることはできないが、やがて不可視属性を与え、表示から消える。消去→作成はできないようだ。
5)トロイの木馬としてのメインの仕事であるが、ユーザー情報であるマイドキュメントの中身や使用実行ファイルの一覧や、おそらくオンラインゲームに関係するフォルダの内容を整理し、ウィルスが作成するXXXXY.COM (例 XXXXはウィルスが作成するhex code)を次々に作成し、ウィルスの作者が指定するアドレスに送信される。
6)システムアーカイバーで保護されたパソコンであっても、どこかのパーテションにautorun.infとy.comが残留していると、再起動時に即座に再感染する。システムアーカイバーでシステムを書き戻す前に、少なくともハードディスク全て、接続された記憶媒体の全てのautorun.infを無効化しておく必要がある。
☆この状態がウィルス作者の想定する安定状態のようだ。
☆このウィルスの自己防衛システム。
どの部分をウィルス本体とするかは難しいが、ウィルスは3重の自己防衛を行っている。
○ 各パーテションに作成されたインストーラファイル(この状態では不活性)
○ system32に組み込まれる.exeと.dll
○ メモリーに常駐する実行部分
で、このどれか一つが生き残っていても再発できる。また、安定状態に入ると、相互にバックアップとして機能するようになっており、イレギュラーなダメージを受けても1回の再起動で元通りに復元される。
○ またウィルスに関連する全てのファイルは「システム属性で不可視属性」であるため、これらを非表示設定に固定することも自己防衛といえるだろう。
ソフトやデバイスによってはこの非表示であっても、その設定の影響を受けないものもある。
例をあげると、
共用設定されたLAN クロスケーブルで接続された、もう一台のパソコンから操作可能。
SUGOI CABLE USB連結ケーブルで、接続された、もう一台のパソコンから操作可能。
SGSerch.exe もともとが高速サーチプログラムで、しかもファイルの移動ができるのでファイル名が分かれば、この用途にはもっとも有用と思う。
7_ZIP.exe 様々な書き込みを読んでみると、このプログラムを使用する方が多いようだ。
☆ 通常アクティブなのはメモリーに常駐している部分(と.dll)で、system32 に置かれた.exeと.dllが消去されても、一定時間で再作成される。
☆☆ パソコンのユーザーがこの.exeと.dll消去し、さらに同名のダミーフォルダを設置した場合
バックアップのどちらかが次番(revo1.exeやrevo1.dll)を作成する。
★ このウィルスに対抗するには、ウィルスの自己防衛のシステム(自己復元)を断ち切ることが最も重要である。
○ autorun.inf を無効化(ダミーフォルダで置き換え)すると、ルートからは修復できなくなる。
○ 可視化できれば、容易にファイルを移動または消去できる。上の4例を参照。
○ メモリー常駐部分は、当然のことながら強制シャットダウンで消滅する。
上記を組み合わせ、自己復元を無効にすれば比較的容易に対応することができる。
追記>>
悪魔退治もウィルス退治も、相手の名前(ファイル名)を知ることが重要で、名前さえわかれば何とかなることがほとんどです。
しかし、この名前を知ることが一苦労なわけです。システム(OS)やアプリケーションが使用するおびただしい数のファイルを全て覚えることなど不可能だし、ウィルスの溜まり場もおおよそは相場があるとはいえ、それ以外を根城にしていることもある。根気も必要だし、何より論理的な判断が必要で、場合によってはさらに状態を深刻化してしまう。ゲームとして楽しめるうちはまだ良いのだが・・・。
心情的には抵抗があるのだが、そんなときには対ウィルスソフトメーカ各社が行っている、無料のオンラインサーチサービスを利用してみることも、大変効果的である。絶対にオンラインにしないと決めたマシンをインターネットオンラインにすることには抵抗があるだろうが。
そんなときに問題なのは、audacityプロフェッショナルマニュアルでも紹介しているフリーウェアのいくつかは、このオンラインサーチに引っかかってしまうが、それらは決して感染しているからではなく、ファイル名が一致したに過ぎない。(ときにベクターからのダウンロードではウィルスがくっついている場合もあるようだが)
オンラインサーチで引っかかった一覧が表示されるので、闇雲に削除せず、かならず内容を確認し、無実かどうか吟味すべきでしょう。(多くの場合、配布用の圧縮ファイルそのものは引っかからないようなので、一旦消去しても回復は容易と思う)