USB関連ウイルス再び
別の端末からUSB関連ウイルス再興す。ただし、実害を及ぼすかどうかは不明。ウイルスバスターは汚染USBに無反応であった。無害だからなのか?
パソコンはスタンドアロンで外部に接続していないので、パソコンの浄化は後回しにし、USBの対応をのみ実施。
まず、汚染したパソコンにUSBを差し込んで、DOSプロンプトから、USBドライブ d:\ を attrib で検査。
(汚染していないか、汚染不明のパソコンに、汚染した・汚染の可能性の高いUSBメモリを接続する場合は、Shiftキーを押しながら差し込めば、autorun.infの記述は実行されないそうです。)
d:>attrib *.*
でエンターキーを押すと、
SHR autorun.inf
SHR as.bat
SHR a.bat
SHR xhlhmbw.exe
SHR l1lyxiy1.exe
SHR mxuclt.exe
SHR wm93r0.com
SHR o6mhfog.com
SHR f.exe
の表示あり(複数のUSBのことをまとめて書いています。共通は autorun.infのみ)。
以下のバッチファイルを実行して、ダミーフォルダをUSBのルートディレクトリに作成して、一応終了。
以下をメモ帳にコピーして、USBメモリのルートディレクトリーに適当な名前のbatファイルとして保存し、実行すればOKです。
「ファイルが見つかりません」とかいうメッセージが出てフォルダが10個以上作成されますが、OKです。拡張子が ppp bbb xxx ooo というファイルが作られていたら、ウイルスかウイルスの断片が存在していたということです。
新しくできた autorun.inf というフォルダ以外は削除してかまわないと思います。ちょっと長いので、フォントを途中から小さくしておきますね。attrib -s -h -r autorun.inf
ren autorun.inf autorun.ppp
md autorun.inf
attrib +s +h +r autorun.inf
以下は、「autorun.inf」の代わりに別のウイルスファイルの名前を入れるだけ。感染の度合いによっては、一行ずつ手打ちしたり、エクスプローラーで手修正しても、別のところにある本体がもとに書き換えてしまう場合が実際にあった。バッチファイルを組んでウイルス本体からの干渉を少なくすることが大事かと思う。
attrib -s -h -r as.bat
ren as.bat as.bbb
md as.bat
attrib +s +h +r as.bat
attrib -s -h -r a.bat
ren a.bat a.bbb
md a.bat
attrib +s +h +r a.bat
attrib -s -h -r xhlhmbw.exe
ren xhlhmbw.exe xhlhmbw.xxx
md xhlhmbw.exe
attrib +s +h +r xhlhmbw.exe
attrib -s -h -r mxuclt.exe
ren mxuclt.exe mxuclt.xxx
md mxuclt.exe
attrib +s +h +r mxuclt.exe
attrib -s -h -r 06mhfog.com
ren 06mhfog.com 06mhfog.ooo
md 06mhfog.com
attrib +s +h +r 06mhfog.com
attrib -s -h -r yfog8p.exe
ren yfog8p.exe yfog8p.xxx
md yfog8p.exe
attrib +s +h +r yfog8p.exe
attrib -s -h -r l1lyxiy1.exe
ren l1lyxiy1.exe l1lyxiy1.xxx
md l1lyxiy1.exe
attrib +s +h +r l1lyxiy1.exe
attrib -s -h -r mxuclt.exe
ren mxuclt.exe mxuclt.xxx
md mxuclt.exe
attrib +s +h +r mxuclt.exe
attrib -s -h -r wm93r0.com
ren wm93r0.com wm93r0.ooo
md wm93r0.com
attrib +s +h +r wm93r0.com
attrib -s -h -r o6mhfog.com
ren o6mhfog.com o6mhfog.ooo
md o6mhfog.com
attrib +s +h +r o6mhfog.com
attrib -s -h -r f.exe
ren f.exe f.xxx
md f.exe
attrib +s +h +r f.exe
attrib -s -h -r rbt.bat
ren rbt.bat rbt.bbb
md rbt.bat
attrib +s +h +r rbt.bat
attrib -s -h -r rht.bat
ren rht.bat rht.bbb
md rht.bat
attrib +s +h +r rht.bat
attrib -s -h -r eipctcc.bat
ren eipctcc.bat eipctcc.bbb
md eipctcc.bat
attrib +s +h +r eipctcc.bat
attrib -s -h -r a0fr.bat
ren a0fr.bat a0fr.bbb
md a0fr.bat
attrib +s +h +r a0fr.bat
attrib -s -h -r y1.bat
ren y1.bat y1.bbb
md y1.bat
attrib +s +h +r y1.bat
attrib -s -h -r xa2c.exe
ren xa2c.exe xa2c.xxx
md xa2c.exe
attrib +s +h +r xa2c.exe
attrib -s -h -r cxx6qa8t.exe
ren cxx6qa8t.exe cxx6qa8t.xxx
md cxx6qa8t.exe
attrib +s +h +r cxx6qa8t.exe
attrib -s -h -r y1.exe
ren y1.exe y1.xxx
md y1.exe
attrib +s +h +r y1.exe
attrib -s -h -r y3032.bat
ren y3032.bat y1.bbb
md y3032.bat
attrib +s +h +r y3032.bat
attrib -s -h -r pg102ga.com
ren pg102ga.com pg102ga.ooo
md pg102ga.com
attrib +s +h +r pg102ga.com
attrib -s -h -r q83iwmgf.bat
ren q83iwmgf.bat q83iwmgf.bbb
md q83iwmgf.bat
attrib +s +h +r q83iwmgf.bat
attrib -s -h -r 8e9gmih.bat
ren 8e9gmih.bat 8e9gmih.bbb
md 8e9gmih.bat
attrib +s +h +r 8e9gmih.bat
attrib -s -h -r o0s.cmd
ren o0s.cmd o0s.ccc
md o0s.cmd
attrib +s +h +r o0s.cattrib +s +h +r
attrib -s -h -r jix9a.bat
ren jix9a.bat jix9a.bbb
md jix9a.bat
attrib +s +h +r jix9a.bat
attrib -s -h -r add.sys
ren add.sys add.sss
md add.sys
attrib +s +h +r add.sys
attrib -s -h -r 9rhtx.bat
ren 9rhtx.bat 9rhtx.bbb
md 9rhtx.bat
attrib +s +h +r 9rhtx.bat
attrib -s -h -r eipctccbat
ren eipctccbat eipctccbbb
md eipctccbat
2008/10/22 更新↑
これらをコマンドプロンプトから実施してもうまくいかないことがあった。手入力では時間がかかりすぎるからか?
このバッチには、後で知ったウイルスの断片のUSBでの無効化も含まれています。
その他、トレンドマイクロ社も紹介しているように、USBメモリのルートディレクトリーに
* .bat
* .cmd
* .com
* .exe
* .pif
* .scr
* .vbe
* .vbs
* .wsf
などという拡張子のファイルがあれば、要注意である。
mmvo
上の文字列を冠するファイルも要注意。
ウイルス対策ソフトでは無理なのか
ウイルス対策ソフト(カスペルスキー)が導入されているようですが、スパイウェア対策ソフトは導入していますか?
ウイルス対策ソフトにもスパイウェアの「検出」「駆除」機能は付随してありますが、やはり、スパイウェア専門の会社と違い、スパイウェアと認識する数が違います。
従って、多くの方は、ウイルス対策ソフトとスパイウェア対策ソフトを導入しています。
スパイウェア対策ソフトで「スキャン」をしてみてはいかがでしょうか。
http://okwave.jp/qa4312806.html?ans_count_asc=1
他の掲示板の他の書き込みでは、このウイルスはウイルスバスターでもカルペルスキーでもavast!でも反応しないという。
NOD32アンチウイルスは対応しているという情報
他の人によれば、キャノンのアンチウイルスソフトで駆除したという。
http://canon-its.jp/product/nd/
また、同製品のHPには、2008年8月のマルウエアランキングがある。autorun.inf は第二位。
http://canon-its.jp/product/eset/info/malware0808.html
その他のウイルス対処情報
あやしい気もするけど、ここも参照。
http://translate.google.com/translate?client=tmpg&hl=ja&u=http%3A%2F%2Fwww.prevx.com%2Ffilenames%2FX1251928713601190008-X1%2FWM93R0.COM.html&langpair=en|ja
それと
トレンドマイクロ社の
WORM_ONLINEG.IGJ対応方法
WORM_AUTORUN.APR対応方法
など
それからここも
http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html
http://ameblo.jp/sisc/entry-10054943322.html
追記
感染防止としてautorun.infという名のフォルダをあらかじめ作っておく。不可視属性にしておくといい。ちなみに再感染するとこのフォルダも可視属性に変えられてしまう。凶悪だよなー。
http://d.hatena.ne.jp/aniota/20080209/1202582654
ホンマですけぇ! 不可視にしておきます。