ひとりごと

新しい記事:[2257]  古い記事:[2255] 表示単位 :

ついったー[おとなり日記] かがみさん Y.Kumagaiさん

2008/07/13 (日)

・ ウィルス体験記

ここ一週間ほどは社内でのトラブルの後始末に駆り出されて大阪にある現場の作業所に半ば常駐しております。なので、暑いわケータイは圏外だわ朝は早いわ帰りは終電・・・てことでプールにもいけなくて散々なのですが、それはそれとして、なんと初体験!!

うちの ThinkPad T41 がウィルスに感染しましたーー

作業するのにPCが必要なときがあるので持っていったのですが、プリンタは持っていっていません。知らないネットワークにつなげるのは私も嫌だしあちらも嫌だと思うのでUSBメモリでデータを持っていって印刷したのですが、プリンタがつながってるPCにウィルスもくっついてました(笑)。外で使うのでウィルス対策ソフトを入れといたほうが良いかな~と思ってUSBメモリを使った翌日ぐらいにNTT西日本のウィルスバスターのOEMみたいなのを入れてみたのですが、時既に遅しってやつです(^_^)。

ところで、このウィルスはネットワークでの感染はしないようで、感染経路はUSBメモリに限られます。WindowsではなぜかUSBメモリでも autorun.inf ファイルを読んで、USBメモリ内のウィルスをご丁寧に実行してくれるのだそうです。さすがはマイクロソフトさま、気がきいています。面白いことに、感染したPCにウィルスバスター(のOEM)をインストールしてもウィルスは検出されるものの完全に駆除することができませんでした。さらに面白いことに、感染経路と思われるPC にもウイルスバスターが入っておりちゃんと機能していました。

「ウィルス対策ソフトをインストールして検出パターンを最新の状態に保つ」ことが最良のウィルス対策ではない、というのは私の持論なのですが、ここまでウィルス対策ソフトが役に立たない例があるとも思いませんでした。

ということで自戒の念もこめた備忘録。長いので興味の無い方は読み飛ばしてください。

  1. 感染源(と思われる)PCにUSBメモリを差し込んで印刷←ここでUSBメモリに感染
  2. そのUSBメモリをT41に差し込む←これでT41が感染。でもまだ感染に気づいていない
  3. 次の日くらいにウィルスバスター(のOEM)をインストール。ウィルスが検出されて驚く(笑)
    ウィルスバスター(のOEM)では2種類ほどのウイルスのファイルが検出されて削除されるが、しばらく使っていると 「autorun.infにウィルスが発見された」と繰り返し報告される→駆除できていない
    加えて再起動すると削除したウィルスが復活する
  4. 今度はGoogleパックの Norton Security Scan にて削除に挑戦。いくつかウイルスが検出されるが、やはり再起動すると復活する。
  5. いろいろ検索してみると NOD32 というのが良いらしいということで、体験版をダウンロードして入れてみる(ウィルスバスターのOEMはアンインストール)。これまたウイルスが検出されるが再起動すると復活(笑)。
  6. もうウィルスと同居しようかな~と諦めモードでいろいろ探してると「WindowsXPではシステムの復元が有効になっているとウィルスが復活する」という情報が。無効にしてみると再起動しても復活しなくなる(^_^)。
  7. この状態で2日ほど使ってましたが、なぜかエクスプローラのフォルダオプションで「すべてのファイルとフォルダを表示」に設定しても表示しないになってしまう→レジストリを変更したら直るとの情報を得て変更してみるも、そのレジストリが数秒たつと改ざんされる→ msconfig で見てみると起動時に revo.exe というのが実行されるようになっていて、これを無効にするとフォルダオプションの問題が解決した

いやはや、ウィルスを駆除するのってウィルス対策ソフトがぜんぶやってくれるのかと思ってましたが、結構手作業が多いのですな。最近のウィルスは自己生成型なのかファイル名とかは検索キーワードとして意味を成さないみたいですし。ちなみに、最後の項目ではフォルダオプションの他に

という謎現象も一緒におさまりました。で、このときの revo.exe はウィルス対策ソフトでは検出されないんですね・・・。今回のウィルスがすごく先進的なのか、ウィルス対策ソフトがどれもダメダメなのか・・・。なんだかよくわかりませんが、外でPCを使う場合は気をつけないといけないなーと思いました。

[つっこみ]

新しい記事:[2257]  古い記事:[2255] 表示単位 :
※このページへのリンクは自由です。リンクの方法については[つっこみ]で表示されるページの最後をごらんください。
たかたに(takatani@mars.dti.ne.jp)