USBウイルスに感染

2009/03/23 [追記]06/28
わが愛機と周辺機器の紹介     
はじめに
 2009年3月15日「USBウイルスに感染」しました。ウイルスセキュリティソフト(ソースネクスト ウイルスセキュリティZERO)はもちろんインストールしていましたし、「定義ファイル」は最新でした。

今回のウイルスのことが良く分かるページをご紹介します。
[USBメモリで広まるウイルスへの対策] (トレンドマイクロ)
状況
 前日にパソコンボランティアに行きましたが、雨降りだったのでいつも持参するマイパソコンは持たず、USBフラッシュメモリのみ持って行きました。

明くる日、USBフラッシュメモリの使い方を聞かれていたので、メイン機のVistaは使用せず、サブ機のXPの画像をキャプチャしてメイン機に移そうとUSBフラッシュメモリを差し込みました。

 

 暫くして
 左図が表示されて「えっ!」

 でも「ご安心下さい」と書かれているから大丈夫かな・・・



 また暫くたってから、今度は左図が表示されました。

  「ブロックしました」

(自分がソフトをインストールしていないのにこれが表示されたら「ブロックする」が必然)


USBフラッシュメモリを開くときは感染を防ぐために[自動再生]の所や、マイコンピュータのリムーバブルディスクをクリックで開いてはいけないのは知っていましたが先日は忘れてました。

ところが変だと感じてから自分のパソコンを「右クリック」して「開く」にしても [既定のプログラムから選択] 画面しか出てこないのです。
やむなく[自動再生]の所から開くと、中身は見えるのですが再び最初の画像が表示されました。



これはおかしいと上図の「隔離の状況」を見てみると、隔離されたウイルスファイルの名前が出ていましたのでメイン機で「USBウイルス klif.sys」と入力して検索してみましたら、私と同じ症状の相談がいくつかありました。

[相談例]  http://okwave.jp/qa4656346.html
        http://questionbox.jp.msn.com/qa4472245.html

ほとんどの回答は「最終的にはリカバリが一番早い」と書かれていましたが、それは最後の手段として(相談者さんが感染された場合のことを想定して)他にやり方はないものかと模索しました。
対応処置
 いろんなサイトを巡ってどうすればよいかを調べましたが、次々??が出てきて最終的に以下のようにやってみましたが、保証の限りではありません。

以下のサイトを一番参考にさせていただきました。(でもウイルスの種類が違うようですね)

[PCの玉手箱]→REVO(revo.exe) / 駆除方法

「revo.exe の駆除方法」の説明で
(4)ポップアップから「すべてのオフラインコンテンツを削除する」 はWindowsXP IE6の場合。

1.上のサイトに書かれた「感染しているかどうかの調べ方」を試してみました。
● 「すべてのファイルとフォルダを表示する」にしてもすぐに「表示しない」に変わってしまいます。

2.完全に感染していると考え、まずウイルスを駆除しようと思い、相談例のアドバイスに書かれていた下記試しました。

F-Secure オンラインスキャナ  下記のウイルス発見

  Packed.Win32.Krap (virus)
   • System
  Packed.Win32.Krap.g (virus)
   • C:\WINDOWS\SYSTEM32\PYTDFSE0.DLL
  Trojan-GameThief.Win32.Magania (virus)
   • System
  Trojan-GameThief.Win32.Magania.awfq (virus)
   • C:\6Q.EXE

◆ 上記で駆除できたのかと思いましたが、念のためインストールしている「ソースネクスト ウイルスセキュリティZERO」でパソコン内及びUSBフラッシュメモリを検査。

  「感染はありません」・・・後の結果から役立たずだということが判明しました。

◆ 「感染なし」の結果を一応信用して、[自動再生]を止めて 怖々 USBフラッシュメモリをVistaの方に挿してみました。

   ←瞬間表示されました。まだいた!

ウイルスバスターオンラインスキャン XP機に戻って別の所で再度検査・・下記発見

  1件は自動削除
  Mal_Otorun2 (virus)
   ・C:\autorun.inf
  Mal_Otorun2 (virus)
   ・D:\autorun.inf

まだいたんだと暗澹たる気持ちになりましたが、気を取り直して「revo.exe の駆除方法」に書いてあるとおり作業をしました。
「レジストリ」のウイルスによって改変された部分を修正すると、 「すべてのファイルとフォルダを表示する」に設定できるようになりました。
中程のウイルス削除の所は当てはまったのは下記のみでした、削除しました。

 C:\Windows\Prefetch\UU.exe-"*".pf

ESET Smart Security 体験版 XP機のソフトをVista機で使用しているウイルスセキュリティソフトに入れ替えました。



わぁ!まだいた。合計11件
もういないと思います(パソコンの異常は見あたりません)が一抹の不安が残るのと、このサブ機は何も入っていないし、リカバリで試したいこともあるのでリカバリすることにします。

それと「このUSBウイルス」に対してのみかどうか分かりませんが、ESET Smart Security はなかなか優秀なソフトだと感じ、体験版を最初からインストールしたらどうなるんだろう と言う疑問が湧いてきました。
そんな機会もあると思いますのでその時は結果を追記いたします。


[追記] 2009/06/28 

[4月25日]

1.相談者さんはお家でネットに接続されていない状態なので
 私が「ESET Smart Security体験版」(自分のパソコンで今回のUSBウイルスに対して有効だった)と自分のパソコンの「定義ファイル」をコピーして持参しました。

2.まず体験版をインストールしてウイルスチェックをしてみましたがウイルスを発見できませんでした。(ネットに接続出来ない状態なので「定義ファイル」なしでどうなるか実験してみました)

3.webで「REVO(revo.exe) / 駆除方法」(下記)を見ながらレジストリを3カ所修正しましたがダメでした。
 http://www.cyber-concierge.co.jp/pc_tama/other/revo.html

[5月13日 続き]

4.「定義ファイル」をコピーした状態で起動するとスタート時に二個のウイルスを削除しました。
 その後 ウイルスチェックをすると更に三個のウイルスを隔離しました。

5.先日の駆除方法の書かれたサイトの文章を印刷して持参し、レジストリの修正をしました。
 その後の操作で「一度ディレクトリに入ってから戻ると隠しファイルが表示されます。」(前回
 この操作を抜かしていました)
 隠しファイルが表示されましたので「autorun.inf」ファイルを手動で削除し、予防のため
 「autorun.inf」フォルダをCドライブとDドライブに作成しました。

6.念のためもう一度ウイルスチェックをしましたが、ウイルスはゼロでした。
 「すべてのファイルとフォルダを表示する」も勝手に変更されることはありません。


以上 完全にウイルスがなくなったかどうかは分かりませんが、相談者さんがネットに接続して
おられないことだし作業終了とさせていただきました。


[参考]・・・下記で[USBウイルス感染体験]が出来ます(下部の方です)

USBメモリの自動再生/自動実行 -仮想体験デモ(2)-

感染の調べ方と予防法
[PCの玉手箱]→REVO(revo.exe) / 駆除方法の中の「感染しているかどうかの調べ方」を参考に調べて下さい。(分かりにくい方は下の図(WindowsXP)を参考にして下さい)



1.[スタート] → [マイドキュメント] → 右クリック → [開く]

←[参考] 「デスクトップに表示」をクリックすると [マイドキュメントが] デスクトップ上に表示されます


2.[マイドキュメント] のメニューバー [ツール] → [フォルダオプション]


3.[フォルダオプション] → [表示タブ] → 「隠しファイル及び隠しフォルダを表示しない」(デフォルト)になっていたら「すべてのファイルとフォルダを表示する」にチェックを入れて「適用」→「OK」して閉じます。


●もう一度 1~2 の作業を繰り返します、そのままになっていたら感染していないはずです。

● 早速 予防しましょう。
「USBフラッシュメモリ」はもちろん[Cドライブ]、[Dドライブ]、...[外付けハードディスク]などすべてのドライブに[autorun.inf]フォルダを作成しておきましょう。
作成できなくて一番下の「ファイルの上書きの確認」が出たらすでに感染しているのかもしれません?




「マイコンピュータ」に存在するディスクすべて
(自動的に書き込みできない物は除きます)








Cドライブを開いて何もないところで[右クリック] します

表示された [プルダウンメニュー] で「新規作成」→「フォルダ」とマウスで辿って(離さない)クリックします。




下のように「新しいフォルダ」が作成されますので、選択状態に青く反転したまま何もしないで [autorun.inf] と入力しEnterキー (他のドライブも同じようにします)
 

USBウイルスが侵入しようとすると、下のメッセージが表示されますので必ず「いいえ」にして下さい。



それ以外の予防法は最初に紹介した
[USBメモリで広まるウイルスへの対策] (トレンドマイクロ)等を参考にして下さい。

上の予防法はあくまでUSBウイルスに対してで、それ以外にも Web等からも侵入してきますので別の対策も必要です。

[追記(2009/03/27)]
上記の方法で[Autorun.inf]を置いていても万全ではありません。
最近は正常な「Autorun.inf」を保存しておいても、改ざんしてしまうウイルスが出てきているそうです。でも置いていないよりはましでしょうし、ディスクを開くのに「エクスプローラー」で開く習慣をつけましょう。
あとがき
 現在、ウイルス等の不正プログラムの作成目的は自己顕示から金銭搾取へと変化しているそうです。
ですから昔のように感染したら直ぐ何らかの変化があるようなウイルスではなく、感染しても表面上は何の変化もなく、レジストリを改変してウイルス自体の姿を見えなくする(ステルス)ウイルスが増えてきているようです。

またウイルスが多様に進化してウイルスセキュリティソフトでは100%検出できないようです。
どのソフトも100%近くですがすべては検出できない、またそれぞれ検出できるウイルスが違うそうで今回の私のように感染してしまうことがあります。

みなさん感染されないように充分お気をつけ下さいね。